Writeup by:SourceCode
首先,先介紹一下企業(yè)賽的環(huán)境楼咳,主辦方給了一套環(huán)境熄捍,作為一道題。也就是說母怜,要模擬入侵一個企業(yè)余耽。首先,有兩臺機器鏈接外網(wǎng)苹熏。在這里我分別稱為A和B碟贾。然后需要通過AB作為跳板機币喧,進而深入內(nèi)網(wǎng)。
p.s.本文由豆豆袱耽,Skay杀餐,5am3各自負責部分分別整理而成,邏輯方面可能會有些跳朱巨。
0x01 A前臺分析
打開第一個入口點史翘,發(fā)現(xiàn)是一個網(wǎng)站,彈出窗口冀续,未選擇file琼讽,于是猜測有文件包含漏洞,繼續(xù)查看洪唐,發(fā)現(xiàn)源碼中有Tips.php跨琳。嘗試用偽協(xié)議讀取源碼。
然后獲取到一個hint桐罕。
0x02 A繼續(xù)深入
找到這個Hint時,我發(fā)現(xiàn)這個是snmp的一個漏洞桂敛,使用 參考網(wǎng)站 功炮,我們首先先爆破出SNMP字符串,這里我們使用 Metasploit 這個工具术唬,執(zhí)行命令
msf> use auxiliary/scanner/snmp/snmp_login
查看一下 options薪伏,我們可以只修改 RHOST 指向靶機的 IP地址,執(zhí)行run命令
如圖所示粗仓,admin就是SNMP的字符串嫁怀,之后我們就可以開始大膽的想法了。
看到這么多的好東西借浊,Windows的用戶名拿到了塘淑,端口3389,隨便嘗試用戶名蚂斤,發(fā)現(xiàn) Guest和SUPPORT的被停用存捺,猜測弱密碼,之后在嘗試之后使用 libai 登陸成功(這算不算是硬廣告曙蒸?)捌治,進入服務器
(其實桌面上只有phpstudy和回收站,后來當跳板用了)纽窟,搜索好啦
輕松拿到兩個flag文件肖油,還有一個是Mysql數(shù)據(jù)庫的,打開數(shù)據(jù)庫管理工具臂港,拿到flag
此時A已成功淪陷森枪。
0x03 B初試
首先訪問80端口视搏,沒用.....
掃描服務器,發(fā)現(xiàn)如下端口對外開放
445端口疲恢,又知道這是一個Linux服務器凶朗,嗯~猜測“永恒之藍”Linux版本應該可以攻擊,使用
攻擊成功显拳,查找flag文件棚愤,發(fā)現(xiàn)
查看一下文件,拿到 flag
0x04 內(nèi)網(wǎng)初探
在豆豆同學發(fā)現(xiàn)了202.1.1.60 的445漏洞后杂数,也就是exploit/samba/is_known_pipename這個漏洞利用模塊宛畦,馬上用自己的msf進去拿了shell
接著進一步進入內(nèi)網(wǎng),不過目前拿到的session不支持msf的路由策略揍移,我也不曉得是為什么次和,,那伐,踏施,桑心,只能上傳meterpreter的shell了罕邀,先在本地生成木馬畅形,感謝主辦方,沒有任何防護诉探,嘻嘻日熬,然后自己在我本地搭了一個web服務,在目標機器上wget獲得我本地的payload肾胯,然后在msf上監(jiān)聽獲得反彈shell
然后我們開心的添加路由啦~~
設置socks4代理
然后用msf自帶的掃描腳本開始掃描內(nèi)網(wǎng)端口竖席,,敬肚,毕荐,不過,艳馒,出奇的慢东跪,,鹰溜,虽填,要死了,曹动,斋日,
我們換nmap 設置proxychains代理
這時豆豆同學已經(jīng)拿下windows serve2003的遠程桌面了,而且發(fā)現(xiàn)也在內(nèi)網(wǎng)當中 嘻嘻嘻 開心墓陈,先用批處理命令ping一下整個網(wǎng)段恶守,看看有多少ip是開著的第献,本來代理就慢,不想掃那么多兔港,結果發(fā)現(xiàn) 內(nèi)網(wǎng)網(wǎng)段是 192.168.1.1 .2 .33 .34 .35 .36開著庸毫,開心的繼續(xù)用nmap掃,掃到36開著8080衫樊,發(fā)現(xiàn)是一個cms飒赃,交給諾熙處理,繼續(xù)掃科侈,载佳,,臀栈,發(fā)現(xiàn)2上開著80蔫慧,找不出什么東西,权薯,姑躲,35,盟蚣,也沒出來啥黍析,,刁俭,
到了后面,豆豆的mac一直用不了代理韧涨,隊長也反映socks4 總斷牍戚,,好桑心虑粥,如孝,
不過還好拿到了win2003的遠程桌面,直接上個圖形界面的全代理娩贷,嘻嘻第晰,上CCProxy,啥代理都有彬祖,開心~
0x05 內(nèi)網(wǎng)深入
原諒我茁瘦,沒有QQ截圖有點費勁,然后......
36服務器上跑著一個dotcms储笑。
首先甜熔,大概看一下這個網(wǎng)站。
發(fā)現(xiàn)一個flag明顯的放在前臺某個頁面突倍。腔稀。就內(nèi)個放文檔的頁面盆昙。(好吧,沒圖說個jb...怪我)
然后....登錄頁面處焊虏,賬號密碼完整填充淡喜。
感謝主辦方!感謝主辦方诵闭!感謝主辦方A锻拧(重要的事情說三遍)
此時有個小坑,它分為普通用戶登錄和管理員登錄涂圆,是在不同的頁面们镜。
然后直接搜,看看有沒有能用的漏洞润歉。
搜到的大多數(shù)是一些sql注入模狭。然而,這種比賽踩衩,你覺得sql注入有用嗎嚼鹉?
好吧,繼續(xù)搜驱富。最后發(fā)現(xiàn)了一個后臺上傳漏洞锚赤。
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201707-887
然后拿到cookie,burp掛上代理褐鸥,直接打流量上傳shell即可线脚。
此時因為是jsp頁面,推薦c刀叫榕。
然后成功拿到shell..
0x06 再深入
然而浑侥,雖說shell有了,但是再得知這是個windows服務器后晰绎,頓時涼了半截寓落。
拿到shell完全沒多大用啊。而且尤其是c刀的shell荞下,很難用有沒有伶选,差點氣死我。
先說正事尖昏,發(fā)現(xiàn)兩個flag仰税,一個是剛剛說的前臺那個,還有一個在C盤根目錄下抽诉。
緊接著肖卧,懷疑還有其他flag。當然掸鹅,也為著那一點點尊嚴塞帐。一定要拿到遠程桌面拦赠。
首先,先換個shell唄葵姥,這個太難用了荷鼠。
于是上傳nc。
nc -lvvp 7777 -e c:\Windows\system32\cmd.exe
然后直接連接過去榔幸。
nc ip 7777
說實話允乐,這個shell比c刀的好1000000000倍.....
之前在c刀嘗試mimikatz查密碼。然而回顯有問題削咆。
之前在c刀嘗試tasklist /svc查服務牍疏。然而回顯有問題。
之前在c刀嘗試netstat -ano查端口占用拨齐。然而回顯有問題鳞陨。
此時,有了這個新的shell瞻惋,這一切都不是問題厦滤,此時開心的笑了。
然而....
mimikatz查密碼歼狼,查不到掏导。
tasklist查服務,沒找到TermService羽峰。
netstat查端口趟咆,看見一堆亂七八糟的。
最終閑的蛋疼梅屉,挨個試了試端口值纱。然而也沒找到3389到底去了哪里。
貌似真的沒開....
然而開3389又不會履植。所以這題涼了.....
最后计雌,這次比賽吃的好飽悄晃!
路還長玫霎,SourceCode的第一個冠軍,一起加油妈橄!
