前言

最近参加安徽省的线下攻防赛,赛制和环境与往年相比做了更改,改成了各队互相隔离的综合业务靶场,感觉还是蛮有意思的,比起awd来稍微贴近一些真实的挖洞环境,虽然有些漏洞还是故意放在那里,但是比起传统awd来说更贴近真实挖洞的脑回路。

正文

环境有三层内网,需要用到转发工具,比赛前一天想到内网渗透,自然就要备些工具,msfcobaltstrikeewnmap之类的,再搞一些st2的利用工具,各种cms的利用工具备下,这是自然的脑回路,虽然好多第二天没用到吧。

第一天安顿好第二天开始比赛,还是代理转发工具用的不熟,转发这一块理解的不够透彻,转发一直没搞好,幸亏他内网一台windows主机的防火墙用的是windows自带的,getshell以后可以关掉他的防火墙正向远程桌面连过去进一步渗透下一层内网,总结来说感觉还是全程手忙脚乱,工具不熟

第一层有三个入口,第一个入口有一个自己写的cms,第二个入口有iis,但是默认目录没有页面,自然脑回路要扫描一下目录,第三个入口开了338921

第一个入口通过构造sql语句,直接登陆了进去,账号admin' or '1'='1,密码任意,得到第一个flag,挺简单的,进去有个上传点,文件名123.png.php,这种命名规则就能上传上去,返回包里没有上传的路径,猜测一下上传的目录upload,成功访问到一句话木马,然后grep -r "flag{"全局搜索没有搜到flag,然后就想上传个ew转发一下扫扫他的内网,但是ew上传了就被删了,不知道为啥,难不成有杀软,然后就尝试了一下reGeorg来转发,然后第一个主机的web服务就崩溃了emmmm
这个reGeorg是经常弄崩主机,于是视线移动到第三个入口,因为第二个还在爆破目录,第三个入口ftp进去就给了个flag.txt,还有一个password.txt,遂用password.txt爆破3389,爆破出账户成功登录进去,回收站有一个flag,桌面还有一个逆向emmmm,逆向很简单,看一眼是.net的程序,直接敬上神器ILSpy,简单异或没有什么难度,然后开始扫描第二层内网,扫到5台主机,有一台windows445端口开着,自然而然ms17010一把梭,然后老套路netsh firewall set opmode mode=disable给他关掉防火墙,建个账户,正向远程桌面连进去,不用代理转发了,进去有一个d账户,桌面上有一个flag.txtsystem权限都读不到,于是想弹一个cobaltstrike session,想migrated账户的进程里去尝试读一下,但是最外层的我的电脑ping不通,于是手动强制设置权限,管理员打开cmdtakeown /f flag.txt强制夺取所有权,然后再在安全属性里获得读取权限就行了。
因为一开始的环境问题,第一台主机web服务崩溃,第三台主机一开始爆破3389还给崩了一下,慌了阵脚,第二题扫描出一个emlog也没时间找公开的漏洞利用了,内网还有一个文件读取的,试了各种伪协议无果,没时间了遂放弃,不过最后还是简简单单就水了个第三名的成绩,还算不亏。

这种比赛的环境赛后是不开放出来,于是想赛后研究研究也没资源,好在看到了安全客上一个cfs的搭建的文章,可以拿来搭建玩玩。
https://www.anquanke.com/post/id/187908