某安全團隊內部滲透比賽記錄

(個人賽)
第一節:
title:進入192.168.1.6 獲取秘匙。

60

ps: http://www.liuyan.com 跟 192.168.1.6是工作區

規程:滲透過程不得使用nmap等掃描端口工具,更加不能使用WEB掃描器。(只要有關于爬蟲都不行 or 掃描owasp top 10 appsan wvs burp)除非工具是你個人寫的。 更加不可以作弊:比如 ip沖突,中間人攻擊。請保持好個人素質。特別注意:全過程中不得求助增援,只能靠個人實力,為了防止作弊全過程需要屏幕錄像。

打開 http://192.168.1.6 提示沒權限訪問。。。
估計做了白名單驗證。。。
然而:http://www.liuyan.com 是可以訪問的。
簡單收集下信息:
http://www.liuyan.com [200] Apache[2.4.7], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.7 (Ubuntu)], IP[192.168.1.7], Index-Of, Title[Index of /]

62 (2)

53

提示說:密碼 4位int密碼。

我一開始想到了密碼爆破 至于驗證碼嘛 肯定是存在session沒更新導致驗證碼復用的漏洞,但是經過測試發現這個漏洞不存在。
所以唯一的辦法就是寫驗證碼識別。。

分析一下驗證碼的 錨點 跟 干擾線,以及模糊度 等。

54
經過分析如果要讓程序識別這種驗證碼等話成功率大概有90%。

55
[Bash shell] 純文本查看 復制代碼
密碼 1115

然后進入到這個頁面:

56
一直想不明白這是干嘛的。單引號也沒報錯。然后經用掉js。。

57
然后看到了這個:

58

應該是輸出字符串之后就跳轉了 導致看不到這個信息,再想他給我提示這個干啥?難到sql注入?
看到了單引號被轉義只能把注意力放到后臺那邊:

59

爆破了好久都沒結果。。浪費了一堆時間,收集了出題官的手機啥的爆破都沒結果。。

雖然單引號被轉義了。但我突然又想到了寬字節注入。。。

60

61
果然。。。。。得到數據庫:hacker
瀏覽器好麻煩。。想用burp但是又不能用。。
本來想爆數據庫密碼的 但是mysql沒有開啟外鏈

62
也考慮到數據庫密碼可能還解不開。
先進后臺看看吧。
暴表:
select table_name from information_schema.tables where table_schema=database()

63

insert into liuyan values (‘運’ , (select table_name from information_schema.tables where table_schema=database() limit 0,1))##’ , ‘e’)

64

暴字段:
insert into liuyan values (‘運’ , (selEct GrouP_coNCat(COLUMN_NAME) fRom information_schEma.COLUMNS where TABLE_NAME=0x61646d696e limit 0,1))##’ , ‘e’)

65
數據庫 hacker
表:liuyan , admin
admin字段:user,pass

暴數據:
selEct GrouP_coNCat(user,0x2D002D00,pass) fRom admin as ww limit 0,1

insert into liuyan values (‘運’ , (selEct GrouP_coNCat(user,0x2D002D00,pass) fRom admin limit 0,1))##’ , ‘e’)

66

其實我很想用sqlmap進行注入 因為上面的規則沒有說不能用sqlmap 但是sqlmap好像不支持values注入,注入的時候居然檢測不出來。

然后我問了一個大神。

67

68

然后登錄后臺:

69
密碼錯誤??這里我抽根煙花了10分鐘在想原理(因為我整個數據庫都翻遍了)
然后查看源碼。。。

70

還好 我懂js。。。不然就永遠卡在這了。。
一個點擊事件觸發一個函數然后你的cookie名稱tem的值不等于hacker的話 那么就輸出一句話 然后false 不再執行。
然后我禁用掉了js 進行登錄發現還是登錄不了。。難不成也在后臺做限制了?好吧。還是老老實實的定義cookie 吧。

71
登錄之后是個上傳。不過需要提供上傳路徑。

獲取上傳路徑有2種方法。
第一種 因為存在sql注入 所以把那個留言的數據全部刪掉,看看報不報錯,因為我發現好多程序員在前端輸出數據的時候根本不判斷數據是否為空就直接遍歷了。

第二種 因為存在sql注入 所以讀取服務器配置文件查看路徑 當然如果默認路徑沒改的話。
ubuntu apache 的配置文件路徑 /etc/apache2/apache2.conf

selEct load_file(0x2f6574632f617061636865322f617061636865322e636f6e6620)

72

73

經過測試 是黑名單驗證
然后利用 .htaccess 上傳

新建個 .htaccess文件內容:
<Files *.jpg>
ForceType application/x-httpd-php
SetHandler application/x-httpd-php
</Files>

在他當前目錄下 只要是以jpg結尾的 都會以PHP程序去解析

7475

mac os x 滲透好麻煩,因為沒環境。。。。挖漏洞還可以。。哎。這工具卡在這了,平時都能用的,今天換了jpg就卡這了。希望看到的反饋bug給這個作者。。

76
然后新建一個看看。

77

這權限好像有點不科學。不知道是不是出題官故意的。。。

下載個nc 進行轉發

78

很多人都不知道為什么要用nc轉發,難到用菜刀來執行命令不是方便點嘛?
這點我得說一下虛擬化的執行命令的區別。就比如:

79

看到區別在哪了吧?

前面我推斷192.168.1.6 應該做了白名單 所以我的思路是想通過這個肉雞來代理進行訪問然后再滲透。
然后肉雞上的Socks 已經安裝成功

80

但是我自己的mac os x卻安裝失敗

81

上kali吧 kali就是ubuntu….

82

83

84
哈哈 開心死了。居然跟我想的一樣。。
http://192.168.1.6/admin.php 應該是后臺登錄。
http://192.168.1.6/register.php 這是注冊的。。。

85
這里我花了整整差不多30分鐘才搞定。
你想啊。他就給你一個登錄一個注冊,然后提示管理員的賬號是admin。
然后我又想到了我以前看過一本書 就是白帽子講解web安全。。

這個是my.ini的漏洞。

sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”

我還是說一下原理吧。。。。

比如一個表的結構是這樣的:

create table admin(
username varchar(10) not null,
passwd varchar(10) not null);

可以看到username跟passwd的字節為10 但是這my.ini設置成
sql-mode=”NO_AUTO_CREATE_USER,NO_ENGINE_SUBSTITUTION”的話
就算超出也會添加成功 比如:
insert into admin values(‘1234567891 2’,and);

他不會插入“1234567891 2 ”而是插 ”1234567891“ 因為指針到1的時候字節就等于10了。。。

86

87

88

最后得到密鑰:adkbdf!@#dmejfn^&*!

除了第一節可以完成 其它都是完成不了的。

(個人賽)
第二節:
title:app反編譯查找漏洞
規則:不得求助別人,全過程需要屏幕錄像。

第三節:
title:修改Sqlmap源碼
ps: http://www.demo.com/1.php?id=1 存在SQL注入 不過select from 單引號 union 都被
過濾了,而你們要做的就是通過SQLMAP進行注入。

規則:不得求助別人,全過程需要屏幕錄像。

(團隊賽)
第四節:
title:反黑客,抓黑客。
ps:某公司凌晨3點46分糟到不明黑客入侵,數據泄露。而你們要做的就是 定位他,找到他,逮捕他。
規則:沒任何規則。
因為2~4都失敗了,所以就沒寫了。
第二節失敗原因:利用dex2jar jdgui進行反編譯得到源碼,然后。。。看不懂java語言 又找不到一些敏感的文件所以失敗。

第三節失敗原因:修改了sqlmap源碼就存在各種bug。而且有部分源碼還看不懂,因為太多模塊都沒用過。所以選擇放棄。

第四節失敗原因:黑客入侵了服務器然后修改apache日志清空,然后再刪除,然后又寫個腳本開機啟動,開機后就會運行程序刪除服務器日志等,我們還原了iis日志后 文件是空的。折騰了幾小時之后選擇放棄。(不過有1個成員成功獲取到了入侵者ip 流程好像是入侵了vpn服務器之后收集黑客的腳印,獲取了黑客的qq 最后成功獲取到黑客ip 手機號碼 常用密碼 在哪工作。我很好奇的問他 你是怎么還原文件內容的。他跟我說了一大堆。我一點都聽不懂。。。。)

[via@474082729] 注:本文已經作者授權,未經本站或作者授權請勿轉載。