前几天打了黑龙江省赛,因为这种渗透赛形式的比赛其实挺少的...所以打了一下,在这里记录一下简单思路~
靶场1思路简述
信息搜集
先是利用nmap扫了端口加指纹识别,扫出了80(wordpress),8080(Discuz,题目说了在另一个服务器172.16.11.20上,可能是反代),7311(dedecms)
然后利用wpscan扫80端口,没发现什么漏洞(版本比较新)
wpscan --url <url> --api-token <token>
扫目录,发现8080有git泄露,githack拖下来拿源码,拿到flag
接下来看源码里面的配置文件,发现数据库账号密码
// ---------------------------- CONFIG DB ----------------------------- // $_config['db']['1']['dbhost'] = '172.16.11.36'; $_config['db']['1']['dbuser'] = 'root'; $_config['db']['1']['dbpw'] = 'DAS#[email protected]';
直接是root,可能有udf提权
框架源码太复杂,直接识别指纹上网搜索1day
主要有一个SSRF的漏洞https://paper.seebug.org/1726/#0x02
(被修了)
和一个memcache用于getshell的漏洞https://www.hacking8.com/bug-web/Discuz/Discuz!-X3.4-Memcached%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%AF%BC%E8%87%B4%E7%9A%84rce.html
(memchache开在内网)
接着看其他端口,7311是国产dedecms v5.8,上网一搜发现有直接RCE的漏洞https://chowdera.com/2021/11/20211109213742832l.html
shell到手,传一个交互式shell,根目录有flag然后连数据库
mysql -u root -p DAS#[email protected] -P 3306 -h 172.16.11.36
链接上数据库,然后查找表名,找到数据库里面存储的flag
show tables
然后,通过udf提权,拿到数据库服务器172.16.11.36的权限和flag
接下来
udf提权具体见这篇文章:https://yinkstudio.xyz/blog/2022/09/16/udf_rce/
这是比赛的时候拿到的全部flag,比赛后反思接下来的思路,可能的有这几个:
- 8080端口的Discuz数据库也在172.16.11.36上面,完全可以改掉管理员的账号密码然后登录后台,后台很可能还有flag和权限(wordpress应该也是)
- 继续扫内网,横向扩展(之后发现有个gitlab在内网)
文章评论