前几天打了黑龙江省赛，因为这种渗透赛形式的比赛其实挺少的...所以打了一下，在这里记录一下简单思路~

靶场1思路简述

信息搜集

先是利用nmap扫了端口加指纹识别，扫出了80（wordpress），8080（Discuz，题目说了在另一个服务器172.16.11.20上，可能是反代），7311（dedecms）
然后利用wpscan扫80端口，没发现什么漏洞（版本比较新）

wpscan --url <url> --api-token <token>

扫目录，发现8080有git泄露，githack拖下来拿源码，拿到flag
接下来看源码里面的配置文件，发现数据库账号密码

// ----------------------------  CONFIG DB  ----------------------------- //
$_config['db']['1']['dbhost'] = '172.16.11.36';
$_config['db']['1']['dbuser'] = 'root';
$_config['db']['1']['dbpw'] = 'DAS#[email protected]';

直接是root，可能有udf提权
框架源码太复杂，直接识别指纹上网搜索1day
主要有一个SSRF的漏洞https://paper.seebug.org/1726/#0x02
（被修了）
和一个memcache用于getshell的漏洞https://www.hacking8.com/bug-web/Discuz/Discuz!-X3.4-Memcached%E6%9C%AA%E6%8E%88%E6%9D%83%E8%AE%BF%E9%97%AE%E5%AF%BC%E8%87%B4%E7%9A%84rce.html
（memchache开在内网）
接着看其他端口，7311是国产dedecms v5.8，上网一搜发现有直接RCE的漏洞https://chowdera.com/2021/11/20211109213742832l.html
shell到手，传一个交互式shell，根目录有flag然后连数据库

mysql -u root -p DAS#[email protected] -P 3306 -h 172.16.11.36

链接上数据库，然后查找表名，找到数据库里面存储的flag

show tables

然后，通过udf提权，拿到数据库服务器172.16.11.36的权限和flag
接下来

udf提权具体见这篇文章：https://yinkstudio.xyz/blog/2022/09/16/udf_rce/

这是比赛的时候拿到的全部flag，比赛后反思接下来的思路，可能的有这几个：

1. 8080端口的Discuz数据库也在172.16.11.36上面，完全可以改掉管理员的账号密码然后登录后台，后台很可能还有flag和权限（wordpress应该也是）
2. 继续扫内网，横向扩展（之后发现有个gitlab在内网）