巅峰极客线上第二场靶场wp

巅峰极客线上第二场靶场wp

八月 26, 2018 阅读 1364 字数 1157 评论 0 喜欢 2

由于靶场都是容器下发,做完之后大多数容器都关闭了,wp简单记录下吧.

一、

进去一看什么都没有

查看源代码找到

访问 www.site.com/u-Are-admin/

后台是一个文件上传 上传文件试了下截断什么的 后面发现自己想复杂了 直接大小写绕过就可以了

文件路径可以通过file manager中的下载文件download.php 通过download.php下载自身源码  得到download.php如下:

然后得到 文件路径www.site.com\u-Are-Admin\u-upload-file

然后getshell 调出cmd 找到flag

 

 

二、

 

后台地址 www.site.com/admin

扫描发现git文件泄露

找到sql文件 得到admin密码

然后得到后台

上传多次上传之后发现.php会被强制加后缀.png,切截断包含等方法无效

由于之前通过git文件泄露得到整站源码 直接看到这里: picture.php

试了下构造shell_exec没成功(太菜QAQ),然后找到了一个 ImageMagick 命令执行漏洞(CVE-2016–3714)

github翻到了一个poc:https://github.com/Medicean/VulApps/tree/master/i/imagemagick/1

原理:

然后从poc里找到关键内容:

然后创建一张图片:

然后上传图片即可,本来想直接反弹shell的,结果被防火墙ban了。

因为命令无回显 所以定向到txt文件(这里有点小问题:环境是nginx搭建,web根目录不一定是/var/www/html)

 

 

三、

扫描找到一个upload.php 还有一个phpmyadmin1

后来有的师傅发现upload.php是一个大马,通过文件包含getshell

这边还可以通过今年6月phpmyadmin爆出的文件包含日志/session getshell

参考链接:https://blog.csdn.net/Ambulong/article/details/80757310

题目要求拿到ichunqiu用户密码,试了下msf shell还是连不上 mimikatz.exe传上去执行不了。于是上传QuarksPwDump来dump hash

然后扔到网上解一下

剩下的flag直接通过webshell都可以找到了。

 

 

四、

醒来时候已经下午了,师傅们都把ctf打完了。这道题战队师傅们说直接sqlmap -u秒 然后写shell搞定。

五、

这道题之前容器一直无法访问,后面说直接访问login.php

常规扫描目录爆破,然后读config.php拿到db密码,这里读取权限很大/etc/passwd都能读,所以就直接读一切,拿到flag。

www.site.com/down.php?urls=data/../config.php

发表评论

电子邮件地址不会被公开。 必填项已用*标注