SCTF2016-Pentest-DrugMarket

  • 2016-05-08
  • 42,554
  • 2

DrugMarket1

QQ图片20160508221951

一开始是个http://www.spentest.com/ 伪造404,查看源码发现http://drug.spentest.com/,继续查看源码,得到http://msgboard.spentest.com/index.php?action=login.php

本来想的是个xss,留言板的,结果x了半天发现不对 ,只能x到自己,毅然决然的寻找新入口点。然后发现action包含后缀,感觉是文件包含。然后试了下/etc/passwd
1然后小学弟智障觉得可能是个包含error.log然后getshell的(然后我就跟着那二货找了半个多小时的error.log,他还跟我说现在想想那么多人这么出题一点也不现实)。然后找apache的配置

2

"/var/lib/php/session"
ErrorLog logs/error_log
CustomLog logs/access_log
common ServerAdmin Syclover ServerName www.spentest.com DocumentRoot
/var/www/webhosts/www Options -Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all AssignUserId www www php_value session.save_path "/var/lib/php/session_www" ErrorLog logs/www-error_log CustomLog logs/www-access_log common ServerAdmin Syclover ServerName drug.spentest.com DocumentRoot /var/www/webhosts/drug Options -Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all AssignUserId drug drug php_value session.save_path "/var/lib/php/session_drug"
ErrorLog logs/drug-error_log
CustomLog logs/drug-access_log
common ServerAdmin Syclover ServerName msgboard.spentest.com DocumentRoot /var/www/webhosts/msgboard Options -Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all
AssignUserId msgboard msgboard php_value
session.save_path "/var/lib/php/session_msgboard"
ErrorLog logs/msgboard-error_log
CustomLog logs/msgboard-access_log common

关键信息
然后去包含log发现并不能包含。内心无比蛋疼。
之后不小心翻到了drops的文章
http://drops.wooyun.org/tips/3827

3

之前xss时候观察了又session然后测试了下可以包含
立马名字命名一句话
然后包含session目录

4
5

连上shell以后然而并没有完。。。
上去找drug目录没有读的权限。Hint说得日到drug目录下。然后习惯性的执行下命令发现不能执行。看了下/etc/php.Ini发现ban了很多函数。

disable_functions = passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,popen,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server

然后想上个正向代理没找见个好的。心一横,翻文件去。
然后最诡异的事情发生了。/var/log/agent.log下竟然有root密码

6

Base64解密了TimeIsMxxxxxxxxxxxxxxxxx
当时天真的我以为管理让我赶紧接着做时间不够了
没想到上去连备份文件还有。发现是个bug XD
留个crontab后门后发现不能打出来,被迫上去装了ssh后门
7

(后门方法http://ricterz.me/posts/%E4%BB%8E%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8B%E8%BD%BD%E5%88%B0%E7%B3%BB%E7%BB%9F%20root%20%E6%9D%83%E9%99%90?_=1462724484475)竟然还没有修!!!!!!
/var/cache/abrt-di/ilog —->登录记录放在了这里 后门密码 apxxxxxxxx(我只去了默认的一个字符XD)
之后翻文件翻到了/home/drug/flag1.txt

8

恩,就是这样。
正常情况下的做题思路是个命令执行
上去看到个守护进程py,主要的漏洞在这两句
execute_str = “wget233 -O ” + dest_filepath + dest_filename + ” ” + url
subprocess.Popen(execute_str, shell=True)
url是可控变量并且没有过滤,配合刚才的/tmp/目录可写的shell,直接命令执行。权限是drug的可以看/home/drug/flag1.txt

(现在就是这个解法了,等我学会了正常解法再来接力。。。Orz)

DrugMarket2

QQ图片20160508222035

首先看hint:邮件,还有个pth(不会用,所以也没用到),在前面拿到了shell中看到了一个文件smtp.php,一般这种东西都是比较敏感的,所以看到之后自觉备份就好了

<?php
	$smtpconfig = array(
		'server'   => 'pigeon-x.spentest.com',
		'username' => 'newton@spentest.com',
		'password' => 'I have 1 apple.'
	);
?>

 上去之后可以发现一个密码(后面也没用到,估计是个坑)

QQ图片20160508230139

最开始掉进了LoveHotel的坑,一直在找这个服务器是哪个,后来dig了下,发现他的dns是192.168.1.3这台服务器

QQ图片20160508113623

上了脚本,扫了下内网ip,发现了三个存活主机,其实也不用扫了,显然就是1.3
192.168.1.2
192.168.1.3
192.168.1.253
然后扫了下端口,发现445,3389,一台windows服务器,接下来就是代理了,不过限制了很多东西,代理半天没代理出来,还被管理大大发现了,改了密码(直接root登上去的,估计中午那会在查流量)

[root@server2 ~]# cat /var/cache/abrt-di/ilog
user:password --> root:TimeIsxxxxxxxxxxxxxxxxxx
user:password --> root:TimeIsxxxxxxxxxxxxxxxxxx
user:password --> root:FuckYouxxxxxxxxxxxxxxxxxx

[root@server2 ~]# w
12:09:20 up 3 days, 1:40, 4 users, load average: 0.28, 0.32, 0.32
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/1 222.18.127.xx 11:54 9:46 0.04s 0.04s -bash
root pts/0 222.18.127.xx 11:58 1:01 0.14s 0.14s -bash
root pts/3 222.18.127.xx 12:09 12.00s 0.00s 0.00s -bash

然后就是把内网代理出来了,看了下iptables就是个坑,

QQ图片20160508232017

只有80端口能穿了,上了reprocks,反向sock5代理,然后直接远程1.3,试了几次,使用上面邮箱的密码成功登陆(Newton:I have 1 apple.)

QQ图片20160508232905

上去后发现fb留下的痕迹,有个是最新的MS16-032的exp,还有mimikatz,本以为可以提权,后来试了半天不管用,然后继续翻……

QQ图片20160508183904

还有个winscp,里面有保存了一个登录记录,拖出winscp.ini,百度了解密工具得到了第二个账号和密码:(galieo:YourTelEsc0peIsJustAToy!)

QQ图片20160508233821

换账号登录,在桌面发现了hint中的分享,桌面有个share文件夹,然后对着三个种子加一张图片看了好久,各种解密无效啊啊啊

QQ图片20160508191356

啥都没找到,然后去翻了下浏览器的历史记录,发现有个书签dnsmgmt.spentest.com,打开后直接用刚才的账号登录,秒进,进去后发现是个dns的控制台,之后最后一个可以更改,看最后一个的域名因该是个订单系统类的,很显然,flag应改就在这里了,果断改了dns,改完之后才知道着题是要干什么(直接把ip改成本机了,五分钟内还不能改,瞬间就慌了,害怕被大牛们打死,Orz)然后大大们赶快写了个页面来抓机器人的密码

QQ图片20160508234447

login.php源码:

<?php
$user = $_POST['username'];
$pass = $_POST['password'];
$data = "user:".$user." pass:".$pass."\r\n";
file_put_contents("log.txt",$data,FILE_APPEND);
?>

 

当时激动地代码一直写错,所以抓了好久才抓到(user:Curie pass:Rad!umLetMeDie……),登陆后发现啥都没有,,恩对,啥都没有……

QQ图片20160508235305

然后开脑洞了,直接拿着账号密码回前面看看,服务器登上去也是啥都没有,不过看到张照片,,,试了试邮箱,成功登陆。

QQ图片20160508205017

说flag就在邮箱里,,,接下来就是社工库了,,,不过显然不如社工机器人好玩啊。然后,,然后就去社工出题人啦(@LateRain大大别打我……Orz)

QQ图片20160508235919

QQ图片20160508235939

然后,就激动地肉身翻墙了,,,翻出去之后,发现密码不对,当时那个郁闷啊,,,接下来,就是这么玩的

marcosbuchananpu@gmail.com———k3ado0p4dv
hawking@spentest.com—————— k3ado0p4dv

回去登陆邮箱,成功登陆,拿到flag:SCTF{00ead0bbdcf744b978766b72a0e96cc7},顺便带着六张美女照片,,,Orz

QQ图片20160508210626

感谢打赏!
微信
支付宝

评论

  • MaryMJ

    Hello! My name is MaryMarkova, our compane need to advertise on your website. What is your prices? Thank you. Best regards, Mary.

你必须 登录 才能发表评论.