線下終于打完了剃氧。滨彻。翰铡。和預(yù)想中的挺多不一樣的赫冬。。目木。不過不可否認(rèn)的是這次打得的確不好祝旷。。還有很多需要學(xué)習(xí)和改進(jìn)的地方
歷程:
一開始一上線發(fā)現(xiàn)發(fā)現(xiàn)無法tar打包在html目錄就上線改默認(rèn)密碼嘶窄,當(dāng)時大概是把17支左右的隊伍后臺都拿下了 然后就一直在找上傳點 這里要檢討一下,找上傳點找得太慢了距贷,導(dǎo)致后面丟失了很多后臺控制權(quán)柄冲,而且還有一點要檢討的就是官方說沒有requests庫但是其實kali里面是自帶requests庫的。忠蝗。现横。這里沒找到導(dǎo)致因為不熟悉urllib2庫而寫不了腳本 這里要更加檢討一下, 然后這場比賽最重要的一點不足是沒有利用好自己的寫的不死馬 沒有上傳好(也是因為沒有腳本的原因) 導(dǎo)致后面隊伍都做好防御的時候就沒辦法利用了 只能揀屎玩了阁最。戒祠。。而且還有一點疑惑是暨大到底是利用了哪一個點能暢通無阻的getshell呢速种?很想去問一下Orz
然后就是到下午了姜盈, 下午是滲透主場。配阵。前晚看了一晚上的跳板雞代理之類的知識馏颂。。棋傍。救拉。但是沒啥用 shell都沒get到。瘫拣。亿絮。
首先是暴露了兩個服務(wù)器 一個80端口是metinfo的cms,另外一個80端口是一個IIS麸拄,88端口是一個weCenter的http服務(wù)
這里有點坑派昧。。感帅。斗锭。第二個Web服務(wù)的80端口的iis竟然是88端口的一個子文件夾。失球。岖是。帮毁。這里有點繞不過來。豺撑。烈疚。因為在我開發(fā)的經(jīng)驗里一般來說一個端口是一種應(yīng)用。聪轿。爷肝。而且80端口的東西并沒有在88端口有相應(yīng)的功能點應(yīng)用得到。陆错。灯抛。所以不能理解出題人。音瓷。对嚼。Orz。绳慎。纵竖。可能還是自己太菜了杏愤。靡砌。。所以80端口即使可以PUT東西上去珊楼。通殃。但是并沒有啥用。亥曹。邓了。put上去的asp都是404 然后第一個Web應(yīng)用沒有找到啥能用的東西。媳瞪。骗炉。賽后去詢問了一下主辦方,正確的思路應(yīng)該如下:
- Web2的88端口的robots.txt有一個明文flag
- Web1服務(wù)里面admin跳轉(zhuǎn)中源碼有一個明文flag蛇受,需要curl逃逸跳轉(zhuǎn)才能得到
- Web2的80端口把.htaccess的內(nèi)容Move到一個txt句葵,發(fā)現(xiàn)php3是可以執(zhí)行的,然后再發(fā)現(xiàn)80端口的東西在88端口一個圖片文件夾內(nèi)兢仰,然后就PUT一個php3的shell上去乍丈,getshell,然后在Web2服務(wù)器內(nèi)的mysql數(shù)據(jù)庫內(nèi)發(fā)現(xiàn)Web1的數(shù)據(jù)庫把将, 獲得Web1管理員的賬號密碼轻专,然后在Web1中g(shù)etshell,然后再開啟反向代理掃一下內(nèi)網(wǎng)ip和端口察蹲,再后面的就不太清楚了请垛。
這次的缺點是缺少滲透的思想催训,要理解到服務(wù)器之間全都是有聯(lián)系的,一個服務(wù)器很難getshell的時候不妨去試試同一ip段下的另一個服務(wù)器的服務(wù)宗收,說不定就能找到一開始服務(wù)器的突破點
還是太菜了漫拭。。混稽。繼續(xù)學(xué)習(xí)Orz采驻。。匈勋。
