前言

今年是第二次参加领航杯省赛,相较于去年啥也不懂的我,今年的我做题目时似乎有了更多的思路,同样压力也更大了些。这次领航杯给我的感觉就是一个字——“快”,初赛从去年的六个小时压缩到了四个小时,决赛AWD也在我忙手忙脚的情况下匆匆结束了。

初赛

0x1 感想

今年初赛平台很给力,没有像去年那样被某种神秘力量给干扰到。同样,队友也相当给力,在我正准备审计web第一题源码的时候,拿到了本科组密码学RSA的一血,来了一个开门红。

我负责web方向的题目,当时第一道题目死磕了很久,其实我知道考察的是任意文件包含session写webshell,之前也做到过类似的题目,可能是惯性思维了,payload一直往以前那到题目上靠,整半天都不对,后来仔细读源码才发现传进去的马被base64编码过了,得想办法绕过base64。我把这道题目解出来的时候,剩下的时间就已经不多了,自然也没再看后面两题了。

在比赛结束前二十分钟,我们终于把Misc给ak了,最终初赛排名定格在省第五(排名居然和去年一样)

0x2 团队WP

点击此处即可查看

决赛

这个得好好分享一下了,这次AWD是我打过最迷茫的一次Orz

(不过比赛现场还是很壮观的

0x1 赛前

急急忙忙炫完中饭,火速打车赶到决赛地点签到,结果到那儿才发现我们来的算早的了quq

拿到比赛手册后,我快速浏览了一遍,看到了选手IP,题目IP,平台IP以及登录账号密码,但唯独没看到靶机密码(疑惑),但是打过去年的AWD的我居然忘记了靶机密码是比赛开始的时候才给的(直到主持人讲完规则之后,我才反应过来),可能是太紧张的缘故(?)。去现场的路上,我还在想着是不是主办方要我们自己去爆破靶机密码,人都麻了

0x2 调试

“我靠?Kali咋ping不通”,因为爆破靶机需要用到Kali上的hydra。我自己捣鼓了半天,把网络连接模式改成了NAT,重启后发现还是不行,最后玄学了一把,直接把虚拟网络配置给初始化了,然后kali居然能ping通平台了????

赛前我们还准备了漏洞库,准备到时候万一遇到冷门框架或者CMS,直接可以快速找到poc。漏洞库在队友docker上起的,在酒店的时候还能正常访问,一到比赛时候就咋也访问不了了QAQ

0x3 加固

赛前我自己准备了一套加固流程,在下载网站源码的时候遇到了大问题:我当时用的是MobaXterm,这终端管理软件在下载网站源码的时候进度条会卡住,甚至还崩掉了,只有打包之后才能下载(而且还有非常大的延迟),导致我后门查杀和源码审计比别人慢了10多分钟。最后,我还在纠结要不要上WAF,因为有些waf会把web一些服务干崩,最终为了保险起见,我还是选择了一个小waf,后来才发现这waf根本没啥用…..

另外,我还特地去看了一眼etc/passwd,找找有没有弱口令用户等着我去捡漏呢,然而并没有((lll¬ω¬))

0x4 攻击

我当时维护的那台靶机,题目叫SuperApi,访问一看是VaeThink,???我咋从来没听过这个CMS,后来回去百度了一下才发现这玩意是基于ThinkPHP5框架开发的。不过问题不大,就算不知道咋打也没关系,我可以看日志流量嘛,翻了日志发现基本都在请求这个目录下的文件/var/www/html/data/conf/extra/webconfig.php,看了看确实存在危险函数eval,但短时间内还不知道咋利用。

我在加固的时候,发现了数据库的账号和密码,我当时赌一波对面没有改账号密码,果不其然我随手就连上了几个队伍的数据库

而且还是root用户

窃喜了一小会,但是我遇到了两个问题:第一个是我通过修改对方数据库里网站后台管理员密码之后,还是无法登录上去。第二个也是最致命的,我居然忘记Mysql怎么去写webshell了???去年就是用这个方法几乎在全场数据库那里getshell了,今年居然忘记咋写那个命令了,该啊!/(ㄒoㄒ)/~~

数据库这块走不通,我想着能不能看看日志去偷别人payload,看了一眼我的靶机,发现被别人干宕机了?师傅们是真的猛,还没几轮呢,就已经干穿靶机了qwq 当时也管不着那么多了,准备想办法进攻,大致翻了翻日志看到了某个队伍传过来的不死马

/.xxx.php?pass=xxxxx(这里为了保护队伍隐私就不放出来木马名字和密码了hhhhh) 。这时我看了一眼我队友维护的第二台靶机,好家伙web目录下一个正经文件都没有,全都是马,都快成马场了。后来细问才知道是Redis未授权访问漏洞写Webshell,最重要的是在对面好几个队伍的目录下看到了我找到的那个不死马,所以我们当场借刀杀人,反手骑了他们队伍的马,拿了一些分数

目光来到我的靶机这儿,在日志上发现了这两个payload:

?s=/admin/\think\app/invokefunction&function=call_user_func_array&vars[0]=file_get_contents&vars[1][]=/flag
/index.php/port/index/read_version?url=/etc/passwd&key=J22GW-Q7MQ4-YJV82-JMM39-T42F3

我随便选了一个打了一下别人,好家伙清一色都是watchbird???当时有点后悔自己没敢上watchbird了,最后也是靠这两个payload拿了些分数

倒数几轮的时候,我去我靶机上看了看情况,好家伙!有一个不死马,几乎感染了我web的所有目录,而且马的内容也让我大为震撼

img

0x5 赛后

最后靠着日志上的一些payload,拿了第八名,冠军又是(盐)粒子队伍,tql(o゜▽゜)o☆

总结

这次awd打的不是很爽,没有能及时找到打全场的漏洞,说白了自己还是太菜了XD

希望明年成绩再提高一点吧(ง •_•)ง

另外,去南京比赛的伙食和住宿一直都非常好,还是非常感谢咱们刘老师的(づ ̄ 3 ̄)づ