信息安全铁人三项赛之企业赛 Writeup

Writeup by：SourceCode

首先，先介绍一下企业赛的环境，主办方给了一套环境，作为一道题。也就是说，要模拟入侵一个企业。首先，有两台机器链接外网。在这里我分别称为A和B。然后需要通过AB作为跳板机，进而深入内网。

p.s.本文由豆豆，Skay，5am3各自负责部分分别整理而成，逻辑方面可能会有些跳。

0x01 A前台分析

打开第一个入口点，发现是一个网站，弹出窗口，未选择file，于是猜测有文件包含漏洞，继续查看，发现源码中有Tips.php。尝试用伪协议读取源码。

mark

然后获取到一个hint。

mark

0x02 A继续深入

找到这个Hint时，我发现这个是snmp的一个漏洞，使用 参考网站 ，我们首先先爆破出SNMP字符串，这里我们使用 Metasploit 这个工具，执行命令

msf> use auxiliary/scanner/snmp/snmp_login

查看一下 options，我们可以只修改 RHOST 指向靶机的 IP地址，执行run命令

mark

如图所示，admin就是SNMP的字符串，之后我们就可以开始大胆的想法了。

mark mark

看到这么多的好东西，Windows的用户名拿到了，端口3389，随便尝试用户名，发现 Guest和SUPPORT的被停用，猜测弱密码，之后在尝试之后使用 libai 登陆成功(这算不算是硬广告？)，进入服务器

mark

(其实桌面上只有phpstudy和回收站，后来当跳板用了)，搜索好啦

mark

轻松拿到两个flag文件，还有一个是Mysql数据库的，打开数据库管理工具，拿到flag

mark

此时A已成功沦陷。

0x03 B初试

首先访问80端口，没用.....

扫描服务器，发现如下端口对外开放

mark

445端口，又知道这是一个Linux服务器，嗯～猜测“永恒之蓝”Linux版本应该可以攻击，使用

mark

攻击成功，查找flag文件，发现

mark

查看一下文件，拿到 flag

0x04 内网初探

在豆豆同学发现了202.1.1.60 的445漏洞后，也就是exploit/samba/is_known_pipename这个漏洞利用模块，马上用自己的msf进去拿了shell

mark

接着进一步进入内网，不过目前拿到的session不支持msf的路由策略，我也不晓得是为什么，，，，桑心，只能上传meterpreter的shell了，先在本地生成木马，感谢主办方，没有任何防护，嘻嘻，然后自己在我本地搭了一个web服务，在目标机器上wget获得我本地的payload，然后在msf上监听获得反弹shell

mark mark mark

然后我们开心的添加路由啦~~

mark

设置socks4代理

mark

然后用msf自带的扫描脚本开始扫描内网端口，，，，不过，，出奇的慢，，，，要死了，，，

mark

我们换nmap 设置proxychains代理

mark

这时豆豆同学已经拿下windows serve2003的远程桌面了，而且发现也在内网当中 嘻嘻嘻 开心，先用批处理命令ping一下整个网段，看看有多少ip是开着的，本来代理就慢，不想扫那么多，结果发现 内网网段是 192.168.1.1 .2 .33 .34 .35 .36开着，开心的继续用nmap扫，扫到36开着8080，发现是一个cms，交给诺熙处理，继续扫，，，，发现2上开着80，找不出什么东西，，，35，，也没出来啥，，，

到了后面，豆豆的mac一直用不了代理，队长也反映socks4 总断，，好桑心，，

不过还好拿到了win2003的远程桌面，直接上个图形界面的全代理，嘻嘻，上CCProxy，啥代理都有，开心~

0x05 内网深入

原谅我，没有QQ截图有点费劲，然后......

36服务器上跑着一个dotcms。
首先，大概看一下这个网站。

发现一个flag明显的放在前台某个页面。。就内个放文档的页面。（好吧，没图说个jb...怪我）

然后....登录页面处，账号密码完整填充。

感谢主办方！感谢主办方！感谢主办方！（重要的事情说三遍）

此时有个小坑，它分为普通用户登录和管理员登录，是在不同的页面。

然后直接搜，看看有没有能用的漏洞。
搜到的大多数是一些sql注入。然而，这种比赛，你觉得sql注入有用吗？
好吧，继续搜。最后发现了一个后台上传漏洞。

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201707-887

然后拿到cookie，burp挂上代理，直接打流量上传shell即可。
此时因为是jsp页面，推荐c刀。

然后成功拿到shell..

0x06 再深入

然而，虽说shell有了，但是再得知这是个windows服务器后，顿时凉了半截。
拿到shell完全没多大用啊。而且尤其是c刀的shell，很难用有没有，差点气死我。
先说正事，发现两个flag，一个是刚刚说的前台那个，还有一个在C盘根目录下。

紧接着，怀疑还有其他flag。当然，也为着那一点点尊严。一定要拿到远程桌面。

首先，先换个shell呗，这个太难用了。
于是上传nc。

nc -lvvp 7777 -e c:\Windows\system32\cmd.exe

然后直接连接过去。

nc ip 7777

说实话，这个shell比c刀的好1000000000倍.....

之前在c刀尝试mimikatz查密码。然而回显有问题。
之前在c刀尝试tasklist /svc查服务。然而回显有问题。
之前在c刀尝试netstat -ano查端口占用。然而回显有问题。

此时，有了这个新的shell，这一切都不是问题，此时开心的笑了。

然而....
mimikatz查密码，查不到。
tasklist查服务，没找到TermService。
netstat查端口，看见一堆乱七八糟的。

最终闲的蛋疼，挨个试了试端口。然而也没找到3389到底去了哪里。
貌似真的没开....

然而开3389又不会。所以这题凉了.....

最后，这次比赛吃的好饱！

路还长，SourceCode的第一个冠军，一起加油！