2018 信息安全铁人三项赛第七(福建)赛区 WriteUp

前言

时隔一年再次参加铁三，今年的赛制有点改动，企业赛个人赛和数据赛三场在同一天进行，在队友们的带领下混了个赛区第二名，成功晋级决赛。本次比赛中我主要负责的是企业赛部分，也就是对给定目标进行渗透测试，然后中间穿插着做了几道数据赛的题，这里记录一下。（因为比赛过程中没怎么截图，师傅们别打我）

0x00 企业赛，启动

比赛开始，从平台里可以看到给了两个ip

202.1.2.50
202.1.2.60

先从50这台下手，nmap扫描得到几个端口：80,137,3389等
这里基本可以知道是台windows服务器了（可能有ms系列漏洞或者可以3389爆破一波），
打开浏览器直接访问发现是个php页面，存在文件包含漏洞，源代码提示包含Tips.php，直接用

?file=php://filter/read=convert.base64-encode/resource=Tips.php
?file=php://filter/read=convert.base64-encode/resource=index.php

读一下源码，得到提示：Have you ever heard of SNMP information trasures??
先不管提示，fuzz读取了一下flag.php，直接读取到flag5，拿下100分，这里开了个脑洞，c盘根目录会不会也有个flag呢？
于是尝试读取c:\\flag.txt，果然，读到了flag4，又拿下100分。（这里工作人员过来问我是不是拿到了服务器权限，怎么这么快，只能告诉他我是靠意识猜的flag）

0x01 拿下服务器

再回到提示，通过搜索引擎，找到了这篇文章：一次对SNMP服务的渗透测试
文中给出了多种方法对SNMP服务进行渗透测试，这里我采用了metasploit的auxiliary/scanner/snmp/snmp_login，设置一下参数然后运行，跑出SNMP存在弱密码，可以直接读取系统的敏感信息，使用如下命令查看一波

snmpwalk -v1 -c admin 202.1.2.50

然后返回了一大堆系统敏感，有用户列表，ip信息等等，在用户列表那里发现了一个名为libai的用户，随手mstsc连接3389测试一下弱口令，果不其然，libai用户的密码为admin，查看一下还有管理员权限，这里就算是彻底拿下50这台服务器了
在服务器里探索一波，发现http服务是用phpstudy搭建的，用phpstudy连接进mysql数据库，在test数据库里找到flag6
然后全局搜索文件，搜索到两个名字带有flag的图片文件，让队友去做了，不过也没做出啥

0x02 内网渗透

服务器翻得差不多了，内网探测一波，发现如下

192.168.1.2 开启80，53端口
192.168.1.43 8080端口存在一个dotcms

.2这台感觉是台dns服务器，不过没有什么思路，先从dot开始吧，这里因为dot在50的内网，拷工具进去渗透很不方便，在50上用ew跑了个socks5代理，把50当作跳板

ew_for_Win.exe -s ssocksd -l 1080

然后本地配个代理就能直接访问了，搜索引擎查到该版本的dotcms存在一个sql注入和一个后台getshell漏洞，但是注入还是盲注，好麻烦
后台测了一波弱口令，未果，突然发现在普通用户登录界面有个邮箱和密码

bill@xxxxx.com (具体的我忘了！)
bill

猜测它也是后台管理员帐号，直接登陆，果然成功了，然后用后台getshell漏洞来getshell
参考地址:http://seclists.org/fulldisclosure/2017/Jul/33
参考文章，找到上传点，这里我用firefox的修改数据包功能构造了任意文件上传的包，传了个jsp网马，这里因为后台有waf的原因，还是上了个免杀马才成功的，总之拿到了shell

因为是jsp网站的原因，直接就是administrator权限了，在c盘发现了flag2，当时时间有限而且这台服务器没有开启3389，没有继续深入挖掘，后来听说dot的前端页面也有个flag，然后还有个flag在回收站里，脑洞果然够大，附上cmd查看回收站命令：

cd $recycle.bin

0x03 FTP服务器

接着对60服务器进行渗透测试，nmap扫描，发现开启了21，22，445，有个ftp服务，当时查了一下ftp版本，没啥漏洞，然后用hydra爆破一波，也没爆出来东西，赛后得知是linux的永恒之蓝漏洞，这里记录一下，参考：https://bbs.ichunqiu.com/thread-23281-1-1.html

use exploit/linux/samba/is_known_pipename
set RHOST 202.1.2.60
run

0x04 数据赛

先贴一下最终答案截图（队友余老师截的图）


其中大部分题目只要对渗透测试有一定的了解，会使用wireshark之类的流量分析工具，都能解出，我就不详细说了，
讲一下卡了特别久的两道题（中间差点跳过那种，还好没跳过，最后全部做出加了100多分），一个是第9题，图片木马的密码是什么，这里其实只要找到对应的位置，将图片文件下载下来，然后cat一下就能发现php一句话了（我也不知道为什么卡了那么久）
还有一个是第12题，找黑客往FTP上传的文件名，因为挂了个reGeorg代理，ftp协议变得很奇怪，这里我也找了好久，以为后面还有很多题，想当然地以为这题一定在第8个数据包里，结果只找到了FTP密码，然后想了想去看看第9个包吧，进去搜索一下FTP协议上传文件的命令STOR，直接就找到了

0x05 个人赛

队友jaken拿了个一血，web狗表示膜拜

总结

今年分区赛因为和Defcon China撞车的原因，几个强队好像都不是主力来打，没有被吊打的很严重，不过还是看到了自己的很多不足，内网渗透做做的还不是特别好，对很多漏洞没有敏感的嗅觉，对几个工具的使用也不是特别熟练，数据分析卡题严重
不过结果还是好的，拿了个亚军，成功晋级决赛，不知道有没有机会打～，附上最后排行图

（最后弱弱地吐槽一下，今年亚军的奖金比去年1/3场分区赛的季军奖金还少！）

赏

谢谢你请我吃糖果

支付宝

微信