【云境】-ThermalPower

WriteUp 2周前 admin
17 0 0

0x01入口

直接访问没东西,对其进行端口扫描下

【云境】-ThermalPower

admin:123456弱口令

【云境】-ThermalPower

发现shiro框架

【云境】-ThermalPower

对其进行密钥爆破

【云境】-ThermalPower

发现爆破不出来,根据fscan扫描结果发现存在heapdump泄露

【云境】-ThermalPower

【云境】-ThermalPower

下载他的内存文件heapdump

【云境】-ThermalPower

对其进行解密

【云境】-ThermalPower

发现shirokey:

algMode = CBC, key = QZYysgMYhG6/CzIJlVpR2g==, algName = AES

【云境】-ThermalPower

【云境】-ThermalPower

一般是cc链,cb链一般用在没有cc链的情况下,shiro框架自带的是cb链

【云境】-ThermalPower

打内存马:http://39.101.132.243:8080/777

【云境】-ThermalPower

因为这里他的路由全部有鉴权,所以我们用弱口令先登录到后台

【云境】-ThermalPower

然后访问777内存马路径,获取有效cookie

【云境】-ThermalPower

在哥斯拉链接的时候,设置下请求头就可以连接上内存马了

【云境】-ThermalPower

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.0.0 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng ,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 Cookie: JSESSIONID=8A365128F3FD7662310296AD67463C26; CUSTOMSESSID=8A365128F3FD7662310296AD67463C26 Accept-Encoding: gzip, deflate, br Accept-Language: zh-CN,zh;q=0.9 Connection: keep-alive 

【云境】-ThermalPower

【云境】-ThermalPower

flag01: flag{33565d1e-04e9-4efb-b1b9-f70641ae489c}

0x02内网

查看网段

【云境】-ThermalPower

上传fscan对内网进行信息收集

【云境】-ThermalPower

部署内网代理进入内网

【云境】-ThermalPower

访问内部资料

【云境】-ThermalPower

【云境】-ThermalPower

【云境】-ThermalPower

内部员工账号 通过密码喷洒+密码组合枚举出一个有效账号

【云境】-ThermalPower

chenhua/chenhua@0813

【云境】-ThermalPower

提权下 SeBackupPrivilege 备份文件和目录 已禁用

【云境】-ThermalPower

这个时候我们发现多出来一个备份的盘,我们去读flag

【云境】-ThermalPower

把flag拷贝出来

【云境】-ThermalPower

【云境】-ThermalPower

根据之前的文件泄露得知,我们可以通向172.22.26.xx段,对其进行扫描

【云境】-ThermalPower

激活下组件

【云境】-ThermalPower

不出网

【云境】-ThermalPower

net user lan lan^sasdqw

添加不了,我后面才发现给的账密才是26.11的

【云境】-ThermalPower

拿到flag win+D发现有勒索

【云境】-ThermalPower

0x03逆向

逆向部分是摇人帮忙搞的,我不太会

flag{63cd8cd5-151f-4f29-bdc7-f80312888158}

【云境】-ThermalPower


原文始发于微信公众号(T大4的小圈圈):【云境】-ThermalPower

版权声明:admin 发表于 2024年7月4日 下午5:57。
转载请注明:【云境】-ThermalPower | CTF导航

相关文章