CISP-PTE综合题做题笔记

cisp中的综合题笔记，用的都是win7攻击机

第一题

flag1

flag1在数据库中
先用nmap进行信息收集

这里用了all tcp ports 扫描发现有21 22 80 111 3306 6721端口
先去80web端口看看

这里是一个挂号界面，但是显示只是一个样式而已

然后去21端口看看，21端口是ftp服务，可以在资源管理器中用ftp协议用匿名用户登录尝试

发现有一个config.php 打开里面是数据库的配置文件包括账号密码

用navicat连接数据库可以找到第一个flag

flag2

flag2在根目录下
要访问到根目录拿到flag，那就要有webshell ，现在获得的是数据库中的内容
继续在数据库中找有用的内容发现有一个user表里面有管理员的账号密码

这个密码是用md5加密的，可以用工具爆破密码最后得到登录凭证 zhangsan:123456
但是现在没有可以登录的界面，所以用下后台扫描工具扫描一下目录
有个index.php 是一个后台登录界面用凭证进入改平台

进来之后有一个档案上传，我们用一个自带的免杀码上传尝试，最后发现只能上传pdf类型的文件
现在又遇到一个新的问题，就是上传之后没有回显，也找不到上传之后的路径
刚才目录扫描也没有扫描到什么upload路径但是还有一个6721端口没有尝试

这里有一个查询功能，猜测可能存在文件包含，用/etc/passwd尝试发现可以读取，说明确实存在
但是直接用php伪协议读取index.php无法访问到，说明他们没有在同一个目录下，现在需要通过其他方式获取的index.php所在的路径
现在卡住了，既然数据库没有别的内容，刚刚扫描没有其他东西，现在用用另外几个扫描工具扫扫看有没有其他新的目录和文件

结果发现真的有一个phpinfo.php
在里面成功找到网站所在的系统路径

然后继续用文件包含去读取index.php的内容

这里通过源码知道上传之后的路径和刚才上传档案的url的两个参数有关
192.168.5.100/index.php?m=order&o=upload 所以上传之后的路径是/model/order_upload.php

这里告诉我们上传之后的路径是CISP-PTE-1413/

用文件包含，然后蚁剑可以成功连接在根目录下找到第二个flag

flag3

flag在/root/下
说明获得第三个flag需要我们提权
没有sudo 用 find / -u=s -print 2>/dev/null找到有suid的指令和文件发现有find

那就可以用find提权了方式就是用find查找一个存在的文件然后加入-exec参数执行命令

成功拿到第三个flag

第二题

flag1

flag1在数据库中
还是先用nmap扫描一下开放了什么端口

进入125 http端口，发现需要认证，然后告诉我们用户名是admin

用bp抓个包爆破一下密码

这里是一个键值对的账号密码然后用base64加密，用bp爆破

选择custom iterator 第一个选admin 第二个: 第三个导入字典
然后选择base64加密

成功找到密码 qwerty
进入进来之后还有一个登录界面继续用这个密码登录没有反应看页面源代码发现这是页面代码。
既然没有别的东西看了下135端口，无法访问所以思路是扫描目录，不过这个扫描不能用工具直接扫
因为有一个登录凭证所以要用bp来代入认证的字段

这里有用的就是news这个目录，进去之后是一个留言管理系统但是无法直接利用，因为顶多有xss
下一步继续扫描news目录下面的其他文件发现有phpmyadmin
进入数据库之后得到第一个flag
这里还能找到一个admin_user 有账号密码也是用md5加密的123456 但是无法直接登录
这里就是经常考察的点就是密码是两次md5加密的所以在phpmyadmin这里修改成123456两次md5加密后的内容

登录进来之后有第一个有用的信息就是当前的系统路径
别的也没有什么有用的信息。

flag2

flag2在网站目录下
刚才已经知道了网站目录的系统路径但是要想拿到flag还是要getshell
在phpmyadmin里面可以用数据库写入一句话木马因为系统路径已经知道了
select '<?php @eval($_POST["x"]); ?>' into outfile 'C:/phpstudy_pro/WWW/a.php'
蚁剑这里要注意添加请求头为认证凭证
在网站目录下拿到第二个flag