记一次线下赛靶机攻击过程

CTF相关 2017-12-03

本文作者:Umask

本人前几天,刚参加一场线下安全赛,特其中一台靶机攻击过程分享下其中的坑。

靶机IP :172.16.1.107

Web 访问似乎没什么有价值的东西

wps6E4C.tmp.jpg

Nmap 看下是否有其他收获?

wps6E4D.tmp.jpg

咋一眼看过去除了 80 端口的 web 以为就没其他端口了,尝试着进行全端口扫描发现,还是一样。

后来仔细进行 nmap -sV 扫描,还有一个 82 端口,尝试 web 访问。

wps6E4E.tmp.jpg

存在一个 ucenter home 的站点,首先考虑了是否存在当前 cms 的漏洞

wps6E4F.tmp.jpg

后来一想,如果单纯是 cms 的漏洞,何必需要之前 80 端口上的 IIS 列目录。

分别将两个站点内容对比下,发现 80 端口上的 logo.gif 文件与 82 站点的 logo 一致。

wps6E60.tmp.jpg

wps6E61.tmp.jpg

wps6E62.tmp.jpg

那么现在可以肯定 80 的 IIS 站点肯定是 82 主站的图片存放位置。

看到 IIS 想起了 IIS 存在写入漏洞,拿出工具扫描一番

wps6E63.tmp.jpg

看来存在漏洞,尝试上传 asp webshell

wps6E64.tmp.jpg

上传成功,接下来 move 一下就好了。

wps6E65.tmp.jpg

Shell.asp 创建成功。

wps6E66.tmp.jpg

尝试访问 404,未找到该文件……

wps6E67.tmp.jpg

明明存在,为何未找到呢?

wps6E68.tmp.jpg

后来考虑到估计就是 IIS 的 80 端口不允许我们访问。

这些想起前面的82端口主站是跟80端口有联系。

wps6E69.tmp.jpg

80 无法访问,那就借助 82 端口,

82 端口是 PHP 站点,那么直接上传 php webshell 就好了,

wps6E6A.tmp.jpg

wps6E6B.tmp.jpg

菜刀连接成功

wps6E6C.tmp.jpg

发现 FLAG 值一个

wps6E6D.tmp.jpg

从目录结构来看,是appserv搭建,权限不够看来得提权

wps6E6E.tmp.jpg

wps6E6F.tmp.jpg

在 web 根目录底下发现连接数据库配置文件,可尝试进行数据库提权。

wps6E70.tmp.jpg

进行 udf 提权,上传 udf.php 文件。

wps6E71.tmp.jpg

如果这边对 udf 提权原理不熟悉,可能不好提权,有个坑

UDF提权条件

(1) Mysql 版本大于 5.1 版本 udf.dll 文件必须放置于 MYSQL 安装目录下的 lib\plugin 文件夹下。

(2) Mysql 版本小于 5.1 版本。udf.dll 文件在 Windows2003 下放置于 c:\windows\system32,在 windows2000 下放置于 c:\winnt\system32

当前版本当然大于 5.0,mysql 数据库底下没有 lib 目录

所以需要在 appserv mysql 目录下的 lib 目录新建一个 plugin 目录

然后在用 udf 提权脚本导入 udf.dll 然后再创建 system shell 函数

wps6E72.tmp.jpg

Mysql 数据库底下发现存在一个 FLAG 数据库,把数据库下载下来,扔到本地的 PHPstudy 的 mysql/data 文件夹底下环境中,本地去查看 FLAG值

wps6E73.tmp.jpg

wps6E74.tmp.jpg

最近看到一篇 mysql 数据库利用的总结博文,挺全面的,如下:

http://blog.51cto.com/simeon/1981572

后来考虑到数据库提权还是挺麻烦的还不如使用 exp 更快。

经过多个 exp 尝试,发现 ms15-077 可以提权成功。

wps6E75.tmp.jpg

修改 administrator 密码

wps6E85.tmp.jpg

接下去开 3389 远程桌面,被拒绝访问了,应该不是权限问题,而是语句问题,尝试更换别的。

wps6E86.tmp.jpg

wps6E87.tmp.jpg

最终上传了个 kai3389.exe 成功开启

wps6E88.tmp.jpg

远程桌面连接发现桌面大大的一个 FLAG,记事本打开看见乱码,虽然可以 FLAG{},但是内容是乱码,估计不是最终值,都是 % 估计是 url 编码

wps6E89.tmp.jpg

Url解密得到一串base64值,再进行base64解码

wps6E8A.tmp.jpg

wps6E8B.tmp.jpg

至此整个靶机入侵提权成功。


本文由 myh0st 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

楼主残忍的关闭了评论