记一次线下赛靶机攻击过程

本人前几天,刚参加一场线下安全赛,特其中一台靶机攻击过程分享下其中的坑。

靶机IP :172.16.1.107

Web 访问似乎没什么有价值的东西

Nmap 看下是否有其他收获?

咋一眼看过去除了 80 端口的 web 以为就没其他端口了,尝试着进行全端口扫描发现,还是一样。

后来仔细进行 nmap -sV 扫描,还有一个 82 端口,尝试 web 访问。

存在一个 ucenter home 的站点,首先考虑了是否存在当前 cms 的漏洞

后来一想,如果单纯是 cms 的漏洞,何必需要之前 80 端口上的 IIS 列目录。

分别将两个站点内容对比下,发现 80 端口上的 logo.gif 文件与 82 站点的 logo 一致。

那么现在可以肯定 80 的 IIS 站点肯定是 82 主站的图片存放位置。

看到 IIS 想起了 IIS 存在写入漏洞,拿出工具扫描一番

看来存在漏洞,尝试上传 asp webshell

上传成功,接下来 move 一下就好了。

Shell.asp 创建成功。

尝试访问 404,未找到该文件……

明明存在,为何未找到呢?

后来考虑到估计就是 IIS 的 80 端口不允许我们访问。

这些想起前面的82端口主站是跟80端口有联系。

80 无法访问,那就借助 82 端口,

82 端口是 PHP 站点,那么直接上传 php webshell 就好了,

菜刀连接成功

发现 FLAG 值一个

从目录结构来看,是appserv搭建,权限不够看来得提权

在 web 根目录底下发现连接数据库配置文件,可尝试进行数据库提权。

进行 udf 提权,上传 udf.php 文件。

如果这边对 udf 提权原理不熟悉,可能不好提权,有个坑

UDF提权条件

(1) Mysql 版本大于 5.1 版本 udf.dll 文件必须放置于 MYSQL 安装目录下的 lib\plugin 文件夹下。

(2) Mysql 版本小于 5.1 版本。udf.dll 文件在 Windows2003 下放置于 c:\windows\system32,在 windows2000 下放置于 c:\winnt\system32

当前版本当然大于 5.0,mysql 数据库底下没有 lib 目录

所以需要在 appserv mysql 目录下的 lib 目录新建一个 plugin 目录

然后在用 udf 提权脚本导入 udf.dll 然后再创建 system shell 函数

Mysql 数据库底下发现存在一个 FLAG 数据库,把数据库下载下来,扔到本地的 PHPstudy 的 mysql/data 文件夹底下环境中,本地去查看 FLAG值

最近看到一篇 mysql 数据库利用的总结博文,挺全面的,如下:

http://blog.51cto.com/simeon/1981572

后来考虑到数据库提权还是挺麻烦的还不如使用 exp 更快。

经过多个 exp 尝试,发现 ms15-077 可以提权成功。

修改 administrator 密码

接下去开 3389 远程桌面,被拒绝访问了,应该不是权限问题,而是语句问题,尝试更换别的。

最终上传了个 kai3389.exe 成功开启

远程桌面连接发现桌面大大的一个 FLAG,记事本打开看见乱码,虽然可以 FLAG{},但是内容是乱码,估计不是最终值,都是 % 估计是 url 编码

Url 解密得到一串 base64 值,再进行 base64 解码

至此整个靶机入侵提权成功。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-12-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

西门子 SIPROTEC、Reyrolle 设备曝高危漏洞,或致变电站等供电设施遭受攻击

近日, ICS-CERT 发布安全报告称西门子 SIPROTEC 4,SIPROTEC Compact 以及 Reyrolle 设备存在的三个漏洞可能会被黑客利...

11940
来自专栏互联网资讯

前端代码编辑神器Brackets

brackets自出现以来,一直被大家认为是前端代码编辑神器。在html+css+js的编写方面,它所体现出的易用性,专业性几乎也要优于sublime的体验。所...

17930
来自专栏北京马哥教育

Red Hat Enterprise Linux 7.0

Red Hat Enterprise Linux是Red Hat公司的Linux发行版,面向商业市场,包括大型机。红帽公司从Red Hat Enterprise...

70260
来自专栏开源项目

2017 JavaScript 开发者的学习图谱 | 码云周刊第 25 期

码云项目推荐 1前端框架类 1. 基于 Vue.js 的 UI 组件库 iView ? 项目简介:iView 是一套基于 Vue.js 的 UI 组件库,主要服...

35970
来自专栏子勰随笔

微信公共帐号自定义菜单创建

260100
来自专栏北京马哥教育

用 Python 搞定正方教务系统之抢课篇

最近学校开始选课,但是如果选课时间与自己的事情冲突,这时候就可以使用Python脚本自助抢课,抢课的第一步即是模拟登录,需要模拟登录后保存登录信息然后再进行操作...

53300
来自专栏FreeBuf

利用企业邮件系统构造命令控制(C&C)和数据窃取(Exfiltration)通道的思路探讨

本文通过对高度安全环境中,渗透入侵完成后,传统的基于Web和DNS管理控制目标系统不可行条件下,利用企业网页邮箱系统进行命令控制(C&C)和数据窃取(Exfil...

232100
来自专栏数据和云

Linux系统被入侵后处理经历

春节将至,让安全伴你行。网络安全,从我做起,没有绝对的安全,只有尽可能减少攻击面,提供系统防护能。 背景 操作系统:Ubuntu12.04_x64 运行业务:公...

46170
来自专栏北京马哥教育

5个最佳免费Linux杀毒软件

Linux的防病毒软件,开玩笑吧?Linux不是很安全吗?很多Linux新手都这样认为,看到标题不要犹豫,读完全文你就会从中找到答案。 首先,Linux比其它操...

1.7K60
来自专栏数据和云

DBA生存警示:误关闭生产库案例及防范建议

编辑手记:对于资深的老DBA们,他们在漫长的职业生涯中养成了很多稀奇古怪的守则,以在复杂多变的环境中“幸存”,这源于无数血泪的教训,我曾经在《数据安全警示录》...

35070

扫码关注云+社区

领取腾讯云代金券