内部赛-2024第四届网络安全攻防大赛个人赛②-决赛-综合渗透赛-WriteUp

DMZ

信息收集 分数: 50
请通过信息收集技术,获取flag1并提交;

泄露信息漏洞利用 分数: 300
请通过进一步信息收集,获取网站服务器权限,并提交服务器根目录的flag2

注册中心漏洞利用 分数: 200
攻击内网注册中心服务,并提交配置中的flag3

数据库信息获取 分数: 100
登录数据库获取flag4并提交

渗透内网数据库 分数: 100
进一步渗透内网独立数据库服务,并提交flag5

数据库提权利用 分数: 200
进一步获取内网数据库服务服务器权限并提交flag6

渗透工资查询系统 分数: 450
攻击内部应用系统(工资查询系统)获取flag9并提交

办公区

渗透邮件服务器 分数: 100
进一步信息收集,尝试登录邮件服务器,获取邮件中的flag7

渗透FTP服务器 分数: 100
登录FTP服务器,获取flag8并提交

核心网区

渗透集团商城系统 分数: 400
攻击内网集团商城系统获取flag10并提交

商城系统信息收集 分数: 350
集团商城系统存在信息泄露,尝试获取泄露的信息并提交获取到的flag11

登录对象存储服务 分数: 400
登录对象存储服务器,获取数据中的flag12并提交

登录核心网数据库 分数: 100
尝试登录核心网段数据库服务器并提交flag13

渗透核心网数据库 分数: 200
尝试获取核心网段数据库服务器权限,并获取数据库服务器根目录中的flag14

解密利用 分数: 500
尝试解密FTP服务器中的文件密码,登录192.168.30.75服务器,提交flag15

题目提示

「工具集」 工具集下载链接 2024-10-09 15:22:12(+08:00)
「解密利用」 1. 利用模运算和密码学中的加密解密方法实现对称加密算法的设计与实现,想想模逆运算、分块处理和密钥动态变化的应用。 2024-10-09 15:19:34(+08:00)
「渗透核心网数据库」 1. 主从复制 2024-10-09 15:18:58(+08:00)
「登录核心网数据库」 1. 这个数据库的密码原来获取过 2024-10-09 15:18:39(+08:00)
「登录对象存储服务」 1. 弱口令 2. 猜猜看Minio存储桶名 2024-10-09 15:18:14(+08:00)
「商城系统信息收集」 1. 找找哪个站点文件引用自Minio 2024-10-09 15:17:35(+08:00)
「渗透集团商城系统」 1. 某国产框架的RCE漏洞,绕过一下 2024-10-09 15:17:01(+08:00)
「渗透工资查询系统」 1. 漏洞点在于未对shell_exec命令执行函数参数过滤 2024-10-09 15:16:30(+08:00)
「渗透FTP服务器」 1. 多翻翻信箱 2024-10-09 15:15:54(+08:00)
「渗透邮件服务器」 1. 登录邮服的用户需要去站点数据库中找找看,分析站点源码找到密码加密方式并解密 2024-10-09 15:15:32(+08:00)
「数据库提权利用」 1. MySQL数据库UDF提权 2024-10-09 15:13:54(+08:00)
「渗透内网数据库」 1. 登录nacos后找找有没有数据库配置 2024-10-09 14:32:39(+08:00)
「数据库信息获取」 1. 内存文件中分析出数据库密码 2024-10-09 13:54:54(+08:00)
「注册中心漏洞利用」 1. 尝试伪造一个JWT进行登录 2024-10-09 13:33:55(+08:00)
「frp工具下载」 提供frp工具供各位选手使用: 1. win版下载地址 2. linux版下载地址 2024-10-09 11:41:58(+08:00)
「泄露信息漏洞利用」 1. headump文件包含了一个key 2. dump分析工具下载链接 3. shiro工具下载链接 2024-10-09 11:27:11(+08:00)
「信息收集」 1. 端口扫描 2. 源码 3. 8080端口 4. http://【靶机IP】:8080 2024-10-09 12:19:32(+08:00)
「工具集」 工具集下载链接 2024-10-09 15:22:12(+08:00)
「解密利用」 1. 利用模运算和密码学中的加密解密方法实现对称加密算法的设计与实现,想想模逆运算、分块处理和密钥动态变化的应用。 2024-10-09 15:19:34(+08:00)
「渗透核心网数据库」 1. 主从复制 2024-10-09 15:18:58(+08:00)
「登录核心网数据库」 1. 这个数据库的密码原来获取过 2024-10-09 15:18:39(+08:00)
「登录对象存储服务」 1. 弱口令 2. 猜猜看Minio存储桶名 2024-10-09 15:18:14(+08:00)
「商城系统信息收集」 1. 找找哪个站点文件引用自Minio 2024-10-09 15:17:35(+08:00)
「渗透集团商城系统」 1. 某国产框架的RCE漏洞,绕过一下 2024-10-09 15:17:01(+08:00)
「渗透工资查询系统」 1. 漏洞点在于未对shell_exec命令执行函数参数过滤 2024-10-09 15:16:30(+08:00)
「渗透FTP服务器」 1. 多翻翻信箱 2024-10-09 15:15:54(+08:00)
「渗透邮件服务器」 1. 登录邮服的用户需要去站点数据库中找找看,分析站点源码找到密码加密方式并解密 2024-10-09 15:15:32(+08:00)
「数据库提权利用」 1. MySQL数据库UDF提权 2024-10-09 15:13:54(+08:00)
「渗透内网数据库」 1. 登录nacos后找找有没有数据库配置 2024-10-09 14:32:39(+08:00)
「数据库信息获取」 1. 内存文件中分析出数据库密码 2024-10-09 13:54:54(+08:00)
「注册中心漏洞利用」 1. 尝试伪造一个JWT进行登录 2024-10-09 13:33:55(+08:00)
「frp工具下载」 提供frp工具供各位选手使用: 1. win版下载地址 2. linux版下载地址 2024-10-09 11:41:58(+08:00)
「泄露信息漏洞利用」 1. headump文件包含了一个key 2. dump分析工具下载链接 3. shiro工具下载链接 2024-10-09 11:27:11(+08:00)
「信息收集」 1. 端口扫描 2. 源码 3. 8080端口 4. http://【靶机IP】:8080 2024-10-09 12:19:32(+08:00)

WP整理

资产整理

  • 10.10.10.12 -- ruoyi spring
    10.10.10.34 -- nacos/有redis
    10.10.10.56 -- 工资系统
  • 10.10.10.78 -- 数据库
    10.10.10.100 -- nginx 反代 对应 1号选手靶场
    10.10.10.200 -- nginx 反代 对应 2号选手靶场
    10.210.145.200 8080 -> 10.10.10.12, 8848 ->34

DMZ区

入口机扫到 spring heapdump + shiro

flag1: login.html 中注释中
flag2:
java -jar heapdump_tool.jar headdump找到key。
shiro_attack-4.7.0-SNAPSHOT-all.jar 勾上aes 一键上冰蝎马.
cat /flag 得到 flag2

flag3:
使用 NacosExploitGUI_v3.9.jar 探测 nacos漏洞.将登录返回值修改为
{"accesstoken **********} , 响应码改为200进入后台.得到flag3

flag4:
heapdump的信息里有 个mysql

database = ry
root 4r2d56ysj65gvdfh87r4

select * from flag_table; -- flag4

flag5:
nacos 后台信息中得到 10.10.10.78 数据库账号密码 root r94wh34rq9dfrfg
登录 select * from flag_table;

flag6:
10.10.10.78 提权 cat /flag 得到 flag6

flag9:
扫描得到的 http://10.10.10.56/admin/login 是工资系统.
水平越权, 注册账号 修改密码,或者修改登录人. 后台上传webshell得到 flag9 , 听说有个目录穿越也能访问到 /flag

办公区

flag7:
ruoyi 入口靶场 数据库中有用户表,

+---------+---------+------------+-----------+-+----------------------------------+--------
| user_id | dept_id | login_name | user_name | | password                         | salt   
+---------+---------+------------+-----------+-+----------------------------------+--------
|       1 |     103 | admin      | ?????     | | 1944fb69180b470eff3bea257cd1d278 | 72dbcc 
|       2 |     105 | ry         | ??        | | 8e6d98b90472783cc73c17047ddccf36 | 222222 
|       3 |     101 | mailuser   | mailuser  | | f96521109defbe08c33c7f95a9fb8963 | b36f1c 
+---------+---------+------------+-----------+-+----------------------------------+--------

package com.ruoyi.framework.shiro.service;
public class SysPasswordService {
    public String encryptPassword(String loginName, String password, String salt) {
        return new Md5Hash(loginName + password + salt).toHex();
    }
}

爆破密码, mailuser 密码为 Aa123456

在 nacos服务器上找到 openvpn信息...

...
remote 10.10.10.50 1194 udp  # 将地址修改为  10.1.10.50  ,听说是这么改的.没验证.
...

连接到 openvpn得到 192.*.*.*段的地址.扫描 192.*.0.0/16 得到邮件服务器.用上面的用户登录 拿到 flag7

flag8:
在邮件里拿到 ftp信息.登录拿到 flag8

核心网区

入口是 10.10.10.200 .听说是thinkphp, 有 ">"的过滤...后面不知道了.

查看网络请求Minio
目录遍历.找到存储flag
目录遍历.找到存储2

posted @ 2024-12-22 14:15  wgf4242  阅读(9)  评论(0编辑  收藏  举报