第三屆四川省信息安全技術(shù)大賽小記 Part2

(2011-05-26 10:34:14)

轉(zhuǎn)載▼

標(biāo)簽：

校園分類：活動(dòng)公告

= 整個(gè)滲透題目思路 =

銅牌服務(wù)器:

hishop5.1的FCK上傳漏洞直接就可以拿到webshell

然后pr.exe提權(quán)即可

銀牌服務(wù)器:

找到韓國web程序的sql注入點(diǎn) 然后用loadfile()獲取到銀牌文件

然后再寫webshell到IIS的web路徑去獲得webshell

因?yàn)锳pache的web路徑都沒有寫權(quán)限的

再提權(quán)獲得另一個(gè)銀牌文件

也可以從出題組出現(xiàn)的配置bug下手

從phpmyadmin直接用賬號”@”和密碼空進(jìn)入

然后用兩句sql命令就可以導(dǎo)出銀牌文件內(nèi)容

金牌服務(wù)器:

提權(quán)進(jìn)入銀牌服務(wù)器后進(jìn)行嗅探

管理員每20分鐘會(huì)telnet進(jìn)入一次金牌服務(wù)器

嗅探到telnet賬號后 登陸進(jìn)去

然后用本地溢出exp提權(quán)即可

—————————————————————————————-

以下 by Crackerban丶duke （沒錯(cuò)，dllk是我）

前期準(zhǔn)備：

當(dāng)題目考點(diǎn)下來的時(shí)候其實(shí)就感到很多將無力觸及，考點(diǎn)涉及得很廣，然后主要是我們自身實(shí)力相對來說確實(shí)菜了點(diǎn)。

分組，我這組我主要負(fù)責(zé)和滲透相關(guān)的內(nèi)容這塊，Magicyoung擅長網(wǎng)絡(luò)、編程、代碼、原理等各種會(huì)，在此我膜拜一下各種會(huì)的牛，Lodevil主要負(fù)責(zé)逆向相關(guān)的內(nèi)容，同膜拜此牛，逆向只是他的業(yè)余，你懂的。

對于此次考點(diǎn)的滲透準(zhǔn)備，在賽前看到考點(diǎn)，銅牌機(jī)上考點(diǎn)寫的是 hishop 5.X 并沒有說具體哪個(gè)版本，對于不會(huì)挖0day的我們來說，只好先到處求助一下，在此要謝謝yf鍋鍋的指點(diǎn)。

沒有說哪個(gè)版本的hishop，在網(wǎng)上找過現(xiàn)有漏洞后發(fā)現(xiàn)只有一個(gè)fck可以利用，最新版都換成了kindeditor編輯器，而hishop后臺不是一般的BT，平時(shí)如果編輯器未果哪怕是進(jìn)入后臺也只能是干瞪著眼而放棄，直接繞道了。

在yf鍋鍋的指點(diǎn)下便在去之前定下了下面的滲透思路：

銅牌機(jī)：

可能是社ftp，后臺拿不到shell；看開放的端口，與服務(wù)對應(yīng)的；很可能會(huì)要跑sa密碼；

銀牌機(jī)：

存在注入，注入分兩種，一個(gè)是root，一個(gè)是user；root得到物理路徑，寫馬，前提magic為off；一般存在注入可以試下php萬能密碼，或者后臺bypass；既然是php，一般是mysql，看是否開了外連，開外連了可以爆破3306；商業(yè)性的程序，可能有本地包含，一般商業(yè)程序是需要安裝的，一般不刪安裝那個(gè)文件有很大幾率產(chǎn)生本地包含漏洞；

金牌機(jī)：

內(nèi)核估計(jì)是2.6.18的，提權(quán)除了第三方，否則沒戲；考點(diǎn)上linux沒寫上什么程序和開放什么服務(wù)，估計(jì)是要爆破ssh；或是金牌機(jī)需要在銀牌機(jī)或銅牌機(jī)上嗅探；

銅牌機(jī)都那么變態(tài)，很可能是先拿下銀牌機(jī)再去拿銅牌機(jī)和金牌機(jī)。

所以銅牌機(jī)如果不是想拿0day只考水平的話，突破點(diǎn)應(yīng)是在別的地方，如sa密碼，或者考試重點(diǎn)是在提權(quán)；三臺服務(wù)器相關(guān)的一些密碼如sa密碼和mysql、root密碼一樣，或者ssh的root密碼一樣，或者后臺密碼一樣，或者和考試時(shí)間、名字等有關(guān)系，還有內(nèi)網(wǎng)ip等等，所以字典的準(zhǔn)備比較重要。

在比賽前我們兩組都收集了些字典。

做題開始：

剛開始Magicyoung查看網(wǎng)絡(luò)環(huán)境，做前期準(zhǔn)備，當(dāng)看到分配的網(wǎng)段是內(nèi)網(wǎng)IP，以及滲透題服務(wù)器的IP，內(nèi)網(wǎng)滲透的想法就沒了。瀏覽全局題目，理論題把自己擅長的題目做了，好吧，理論題我只做了幾道與web等有關(guān)的安全題。最后與Magicyoung、Lodevil合計(jì)最后答案，此時(shí)差不多理論答題時(shí)間已經(jīng)快完了。

我和Lodevil做了幾道實(shí)踐題，杯具的是web的好幾個(gè)題都木有做出來，太菜了沒法。

做了幾道實(shí)踐題做不動(dòng)后到吃飯的時(shí)間。

完了后開始做滲透題。

當(dāng)時(shí)我就震驚了，銅牌機(jī)上居然是hishop5.1，fck直接上大馬，發(fā)現(xiàn)已經(jīng)有成馬場了，下手晚了啊….

原來的滲透思路應(yīng)該是泡湯了。

上馬后速度轉(zhuǎn)移陣地，找到了key1，開始提權(quán)。剛看組件的時(shí)候發(fā)現(xiàn)各種沒刪，然后查看可寫，發(fā)現(xiàn)就一個(gè)C盤，到處可寫 -.-，也小小的興奮了下，這個(gè)剛好和校內(nèi)比賽時(shí)我設(shè)置的那臺服務(wù)器環(huán)境差不多。

上各種提權(quán)工具，或許剛開始或許是人品爆發(fā)，各種提權(quán)神器上去后都無果，cmd只能執(zhí)行簡單的命令，（而此時(shí)已經(jīng)發(fā)現(xiàn)其他隊(duì)的用戶了，被別人捷足先登了啊，對這個(gè)比賽經(jīng)驗(yàn)不足就體現(xiàn)出來了，貌似剛開始銅牌機(jī)就能進(jìn)的，然后提權(quán)繞了那么多彎路，真傻逼了）。其實(shí)最后還是pr提權(quán)的，杯具的時(shí)候剛開始的時(shí)候我只是試了簡單的pr，居然沒反應(yīng)….然后就沒提下來，剛想看磁盤其他信息的時(shí)候，web系統(tǒng)崩了，我累個(gè)去，他們誰把web程序玩壞了。后來再來看的時(shí)候，馬兒已經(jīng)沒了，只好重新上馬，然后還沒提下來的時(shí)候又崩了幾次，吭爹啊….

再次上馬后，沒有發(fā)現(xiàn)到有效的信息，而且服務(wù)器只開了80與3389端口。看到了有一個(gè)mysql文件夾，而端口沒開，難道要杯具？然后web程序崩潰了好幾次，難道與提權(quán)有關(guān)不成。各種的亂七八糟的想法，mysql相關(guān)文件下過來看root密碼，杯具了啥都沒有。

最后只好重新整思路，從頭開始吧，幸運(yùn)就便在此降臨，上pr，居然成功了，然后馬上加用戶組，連3389，汗，登錄不上，沒有權(quán)限，難道administrator不是管理組被限制了，然后加Remote Desktop Users組，還是不行，剛想準(zhǔn)備把全部的用戶組都加進(jìn)去的時(shí)候居然又崩潰了….沒法只能重來，此時(shí)我把pr及無參有回顯和無回顯的全傳上去了，然后此時(shí)就發(fā)現(xiàn)剛開始居然不都傳上去，腦子短路啊。無參有回顯的pr執(zhí)行，居然成功了！肉牛滿面啊，繞了那么多彎路，廢了半個(gè)多小時(shí)，整傻B了….

key2到手，key3找不到…..然后全盤搜索key的關(guān)鍵字，沒有，難道與日志有關(guān)？然后找日志文件，未果。索性把日志給清除了，然后搜素txt，終于發(fā)現(xiàn)了key，銅牌.txt，指向的位置居然是在桌面，汗了，桌面除了個(gè)回收站神馬也木有。雙擊打開，沒權(quán)限，好吧，開始亂調(diào)，右鍵屬性的安全。終于銅牌搞定。

開始銀牌機(jī)，銅牌機(jī)完了后幾乎沒有多少信息對銀牌起到作用。

金牌機(jī)只開了22與23端口。估計(jì)金牌機(jī)要靠銀牌機(jī)了。

菜啊，沒辦法，銀牌機(jī)注入點(diǎn)都沒找到，只找到個(gè)phpmyadmin，除了爆爆物理路徑社工下啥的沒啥思路，對于賽完后西南石油利用用戶名為@密碼為空即進(jìn)入了這個(gè)漏洞，表示太菜沒有玩過啊，同時(shí)或許是開了web防火墻，掃目錄的神器都用不鳥，對于當(dāng)時(shí)工具黨的我來說，無疑是判刑了，再加上網(wǎng)絡(luò)的不穩(wěn)定，后面的幾乎沒有啥思路了，注入點(diǎn)都沒找到，再看到銀牌機(jī)金牌機(jī)一直沒有人弄下來估計(jì)自己沒啥希望了。剩下的時(shí)間就去看那些啃不動(dòng)的實(shí)踐題了。

小結(jié)：

對于滲透，經(jīng)驗(yàn)很重要，同時(shí)由于自己的繞彎路不禁鄙視了下自己。同時(shí)滲透部分我們還太弱了，看到幾位參賽的大鍋鍋們的總結(jié)后，在當(dāng)時(shí)才知道對于整個(gè)滲透的環(huán)境與思路的把握是那么的盲目與短淺，差距還很大很大。對于提權(quán)的學(xué)習(xí)感到很無奈啊….

同時(shí)實(shí)踐題部分的某些題目由于基礎(chǔ)的不扎實(shí)，涉及到的東西都是會(huì)的模模糊糊的東西，web安全方面的東西得好好的再學(xué)習(xí)。

對于滲透部分感覺知識很空缺的地方：各種日志的分析；反追蹤；

重點(diǎn)如下：逆向；web的知識，編碼、XSS、注入等要強(qiáng)加練習(xí)，學(xué)習(xí)的東西還很多。

雖然此次把銅牌服務(wù)器給拿掉了，但還是因?yàn)殂~牌服務(wù)器設(shè)置得比較簡單吧。提權(quán)很要練習(xí)。

然后對于遠(yuǎn)程連接需要小研究，域環(huán)境等，即win服務(wù)器及網(wǎng)絡(luò)的東西。

然后對于服務(wù)器各種安全策略的設(shè)置，IPC等，win服務(wù)器的各種維護(hù)的操作需要熟悉。

Good luck!

—————————————————-

以下 by Magicyoung

這次比賽我們保存了很多內(nèi)容。供以后參考

說下比賽時(shí)的事

9：30開始比賽，斷外網(wǎng)，一開始就開放除金銀銅外的所有理論題和實(shí)踐題。理論題是單選ABCD，實(shí)踐題是提交KEY，就是破解啊或者密碼啊得到一個(gè)過關(guān)密鑰。。。理論題只能提交一次。。。實(shí)踐題可以多次提交，錯(cuò)誤的KEY會(huì)提示你錯(cuò)誤。

上午比賽MagicYoung一開始就做的理論，那兩個(gè)把理論中他們百分百肯定的而且其他人基本做不了的做了。然后就開始做實(shí)踐，爆了幾個(gè)，理論答題在11:30會(huì)關(guān)閉，因此10點(diǎn)半的時(shí)候三個(gè)人一起合計(jì)了一次理論題，然后Magicyoung把理論題提交了，11:00時(shí)我們組申請開通外網(wǎng)（不申請則為12點(diǎn)開放）。然后開始各找各的實(shí)踐題隨便做。11:30-11:50在吃飯- -

。。。

由于上午的時(shí)候簡單的實(shí)踐題基本都被爆了，下午隨意看了下實(shí)踐題，LO就開始跟代碼了（逆向），dllk開始弄銅牌，magicyoung繼續(xù)爆剩余的實(shí)踐。。。一直到3:30比賽結(jié)束。。。

這次理論實(shí)踐都做的還可以，有幾個(gè)時(shí)間不夠了。

涉及內(nèi)容基本就是那些，逆向方面不少（估計(jì)占總分1/4左右），組內(nèi)沒會(huì)逆向的必然悲劇。組內(nèi)還要有個(gè)會(huì)LINUX的- -

比賽的不僅是理論技術(shù)、、、還有意識思路。。你看到題和解答就知道了。。

開始比賽時(shí)會(huì)有個(gè)小監(jiān)控軟件，LINUX不用安- -。。。可考慮LINUX自己寫個(gè)連接器和一個(gè)足夠隱秘的WEB瀏覽器用無線繞出去。。。這對理論答題有些許幫助。。。

比賽時(shí)內(nèi)網(wǎng)并不混亂。子網(wǎng)劃得很小，因該是每隊(duì)一個(gè)子網(wǎng)，不過不清楚是否有VLAN，因此CAIN別想。。。網(wǎng)速也還可以，只是斷過幾次網(wǎng)- -。。。幾臺答題服務(wù)器由于負(fù)載問題，

有時(shí)會(huì)斷，出現(xiàn)概率低，銅牌服務(wù)器倒是經(jīng)常扯拐，因此拿金銀銅的速度快點(diǎn)，服務(wù)器出問題一般都是被還原，這樣你WEBSHELL就沒了。。

不過之前準(zhǔn)備綁MAC還是必要的。。

祝已后比賽的人好運(yùn)

By MagicYoung

未完待續(xù)…