专栏首页信安之路记一次线下赛靶机攻击过程

记一次线下赛靶机攻击过程

本人前几天,刚参加一场线下安全赛,特其中一台靶机攻击过程分享下其中的坑。

靶机IP :172.16.1.107

Web 访问似乎没什么有价值的东西

Nmap 看下是否有其他收获?

咋一眼看过去除了 80 端口的 web 以为就没其他端口了,尝试着进行全端口扫描发现,还是一样。

后来仔细进行 nmap -sV 扫描,还有一个 82 端口,尝试 web 访问。

存在一个 ucenter home 的站点,首先考虑了是否存在当前 cms 的漏洞

后来一想,如果单纯是 cms 的漏洞,何必需要之前 80 端口上的 IIS 列目录。

分别将两个站点内容对比下,发现 80 端口上的 logo.gif 文件与 82 站点的 logo 一致。

那么现在可以肯定 80 的 IIS 站点肯定是 82 主站的图片存放位置。

看到 IIS 想起了 IIS 存在写入漏洞,拿出工具扫描一番

看来存在漏洞,尝试上传 asp webshell

上传成功,接下来 move 一下就好了。

Shell.asp 创建成功。

尝试访问 404,未找到该文件……

明明存在,为何未找到呢?

后来考虑到估计就是 IIS 的 80 端口不允许我们访问。

这些想起前面的82端口主站是跟80端口有联系。

80 无法访问,那就借助 82 端口,

82 端口是 PHP 站点,那么直接上传 php webshell 就好了,

菜刀连接成功

发现 FLAG 值一个

从目录结构来看,是appserv搭建,权限不够看来得提权

在 web 根目录底下发现连接数据库配置文件,可尝试进行数据库提权。

进行 udf 提权,上传 udf.php 文件。

如果这边对 udf 提权原理不熟悉,可能不好提权,有个坑

UDF提权条件

(1) Mysql 版本大于 5.1 版本 udf.dll 文件必须放置于 MYSQL 安装目录下的 lib\plugin 文件夹下。

(2) Mysql 版本小于 5.1 版本。udf.dll 文件在 Windows2003 下放置于 c:\windows\system32,在 windows2000 下放置于 c:\winnt\system32

当前版本当然大于 5.0,mysql 数据库底下没有 lib 目录

所以需要在 appserv mysql 目录下的 lib 目录新建一个 plugin 目录

然后在用 udf 提权脚本导入 udf.dll 然后再创建 system shell 函数

Mysql 数据库底下发现存在一个 FLAG 数据库,把数据库下载下来,扔到本地的 PHPstudy 的 mysql/data 文件夹底下环境中,本地去查看 FLAG值

最近看到一篇 mysql 数据库利用的总结博文,挺全面的,如下:

http://blog.51cto.com/simeon/1981572

后来考虑到数据库提权还是挺麻烦的还不如使用 exp 更快。

经过多个 exp 尝试,发现 ms15-077 可以提权成功。

修改 administrator 密码

接下去开 3389 远程桌面,被拒绝访问了,应该不是权限问题,而是语句问题,尝试更换别的。

最终上传了个 kai3389.exe 成功开启

远程桌面连接发现桌面大大的一个 FLAG,记事本打开看见乱码,虽然可以 FLAG{},但是内容是乱码,估计不是最终值,都是 % 估计是 url 编码

Url 解密得到一串 base64 值,再进行 base64 解码

至此整个靶机入侵提权成功。

本文分享自微信公众号 - 信安之路(xazlsec),作者:Umask

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-12-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • sqlmap自带的tamper你了解多少?

    sqlmap 是一款注入神器广为人知,里面的 tamper 常常用来绕过 WAF ,很实用的模块,但是却常常被新手忽略(比如我),今天就整理总结一下 tampe...

    信安之路
  • 入门 IOS 逆向从我的经历说起

    在这里以讲故事的形式分享一下我踏入信息安全这条路的一些经历吧,希望能帮到一些人,正文开始:

    信安之路
  • 轻松理解端口转发和端口映射

    端口是什么,我们在之前的文章里已经做了解释,请看《轻松理解网络端口是什么》,端口转发和端口映射都是为了解决内网主机的端口无法在外部直接访问而衍生出来的技术,通过...

    信安之路
  • Jmeter系列(35)- 使用 ServerAgent 监控服务器

    可以通过官方下载:https://jmeter-plugins.org/downloads/old/

    小菠萝测试笔记
  • java图形验证码生成工具类及web页面校验验证码

    许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

    Bobby
  • 这些linux技巧大大提高你的工作效率

    linux中的一些小技巧可以大大提高你的工作效率,本文就细数那些提高效率或者简单却有效的linux技巧。

    编程珠玑
  • 这些linux技巧大大提高你的工作效率

    linux中的一些小技巧可以大大提高你的工作效率,本文就细数那些提高效率或者简单却有效的linux技巧。

    帅地
  • 实时音视频开发学习13 - 小程序端API

    小程序端API分为基础方法、发布订阅方法、视图控制方法、背景音乐方法、消息收发和其它。针对trtc-room组件来说可以传递一个config属性来打开音视频通话...

    金林学音视频
  • Java程序员从阿里、京东面试回来,这些面试题你会吗?

    最近有很多朋友去目前主流的大型互联网公司面试(阿里巴巴、京东-美团),面试回来之后会发给我一些面试题。有些朋友轻松过关拿到offer,但是有一些是来询问我答案的...

    美的让人心动
  • 【面试题】2018年最全Java面试通关秘籍第三套!

    注:本文是从众多面试者的面试经验中整理而来,其中不少是本人出的一些题目,网络资源众多,如有雷同,纯属巧合!禁止一切形式的碰瓷行为!未经允许禁止一切形式的转载和复...

    Java后端技术

扫码关注云+社区

领取腾讯云代金券