yink's studio

yink's world
Stay hungry, stay foolish.
  1. 首页
  2. 未分类
  3. 正文

2022 黑龙江省赛(渗透赛)

2022年9月16日 116点热度 0人点赞 0条评论

前几天打了黑龙江省赛,因为这种渗透赛形式的比赛其实挺少的...所以打了一下,在这里记录一下简单思路~

靶场1思路简述

信息搜集

先是利用nmap扫了端口加指纹识别,扫出了80(wordpress),8080(Discuz,题目说了在另一个服务器172.16.11.20上,可能是反代),7311(dedecms)
然后利用wpscan扫80端口,没发现什么漏洞(版本比较新)

wpscan --url <url> --api-token <token>

扫目录,发现8080有git泄露,githack拖下来拿源码,拿到flag
接下来看源码里面的配置文件,发现数据库账号密码

// ----------------------------  CONFIG DB  ----------------------------- //
$_config['db']['1']['dbhost'] = '172.16.11.36';
$_config['db']['1']['dbuser'] = 'root';
$_config['db']['1']['dbpw'] = 'DAS#[email protected]';

直接是root,可能有udf提权
框架源码太复杂,直接识别指纹上网搜索1day
主要有一个SSRF的漏洞https://paper.seebug.org/1726/#0x02
(被修了)
和一个memcache用于getshell的漏洞https://www.hacking8.com/bug-web/Discuz/Discuz!-X3.4-Memcached%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%AF%BC%E8%87%B4%E7%9A%84rce.html
(memchache开在内网)
接着看其他端口,7311是国产dedecms v5.8,上网一搜发现有直接RCE的漏洞https://chowdera.com/2021/11/20211109213742832l.html
shell到手,传一个交互式shell,根目录有flag然后连数据库

mysql -u root -p DAS#[email protected] -P 3306 -h 172.16.11.36

链接上数据库,然后查找表名,找到数据库里面存储的flag

show tables

然后,通过udf提权,拿到数据库服务器172.16.11.36的权限和flag
接下来

udf提权具体见这篇文章:https://yinkstudio.xyz/blog/2022/09/16/udf_rce/

这是比赛的时候拿到的全部flag,比赛后反思接下来的思路,可能的有这几个:

  1. 8080端口的Discuz数据库也在172.16.11.36上面,完全可以改掉管理员的账号密码然后登录后台,后台很可能还有flag和权限(wordpress应该也是)
  2. 继续扫内网,横向扩展(之后发现有个gitlab在内网)
本作品采用 知识共享署名 4.0 国际许可协议 进行许可
标签: 暂无
最后更新:2022年9月28日

yink

这个人很懒,什么都没留下

点赞
< 上一篇
下一篇 >

文章评论

取消回复

COPYRIGHT © 2021 101.34.164.187. ALL RIGHTS RESERVED.

THEME KRATOS MADE BY VTROIS