2021极客谷杯决赛渗透靶场1全解
字数 1388 2025-08-25 22:59:15

2021极客谷杯决赛渗透靶场1全解教学文档

靶场概述

这是一个包含7个flag的内网渗透靶场,目标系统为模拟的企业内网环境。参赛选手需要通过各种渗透技术获取不同目标服务器的权限,最终获取全部flag。

靶机信息

  • 初始访问点:1.13.24.8 (端口80)
  • 内网IP范围:172.16.25.0/24

Flag获取详细步骤

Flag6

获取方法

  1. 对目标网站进行目录扫描
  2. 发现并访问/robots.txt文件
  3. 直接获取flag

结果

flag6{4177d24e50af8fedb2e9e385cf6eae9e}

Flag7

获取方法

  1. 识别网站使用BeesCMS v4.0
  2. 利用BeesCMS v4.0 SQL注入漏洞
  3. 构造注入payload获取管理员凭据: 
    user=admin'a+and+nd+extractvalue(1,concat(0x7e,(seselectlect+admin_password+f+from+rom+bees_admin+limit+0,1),0x7e))#&password=admin123&code=e82b&submit=true&submit.x=66&submit.y=23
  4. 获取到加密的管理员密码:ae3700364f2111b2cea75d8e19d2331 (MD5解密后为aabbccdd@123)
  5. 使用获取的凭据登录后台(用户名:bs_admin,密码:aabbccdd@123)
  6. 通过后台文件上传功能获取webshell
  7. 通过webshell获取flag

结果

flag7{faf1a4048d9ede1d4ba9b826b3735d5f}

Flag1

获取方法

  1. 通过已获取的webshell检查系统目录
  2. /tmp目录下发现flag文件

结果

flag1{c5ed891826097543a066a77c8f627040}

Flag5

获取方法

  1. 获取内网IP信息:172.16.25.10
  2. 设置代理进行内网扫描
  3. 使用fscan扫描发现以下服务:
    • 172.16.25.10:80
    • 172.16.25.1:80
    • 172.16.25.16:3306 (MySQL)
    • 172.16.25.30:7001 (WebLogic)
    • 172.16.25.1:22
  4. 识别WebLogic版本存在CVE-2020-2551漏洞
  5. 利用该漏洞获取flag

结果

flag5{419aba19867bbb8de92efd4c66b12926}

Flag3

获取方法

  1. 发现MySQL服务(172.16.25.16:3306)
  2. 尝试使用root/root123登录失败
  3. 识别存在CVE-2012-2122漏洞(MariaDB/MySQL认证绕过漏洞)
  4. 使用以下Python脚本利用该漏洞: 
    #!/usr/bin/python
import subprocess
while 1:
    subprocess.Popen("mysql -h 172.16.25.16 -u root mysql --password=blah", shell=True).wait()
  5. 成功登录MySQL后查找flag

结果

flag3{7b87dd51036fe42f2bd83e1911732a65}

Flag4

获取方法

  1. 根据提示使用MySQL UDF提权
  2. 通过UDF提权获取系统权限
  3. 获取flag

结果

flag4{a89b07eebc0f1a5d4de5e4eb78b43ea4}

Flag2

获取方法

  1. 对内网进行全面端口扫描
  2. 发现172.16.25.20开放32222和40909端口(RMI服务)
  3. 利用RMI未授权访问漏洞执行命令
  4. 获取flag

结果

flag2{...} (原文中未提供完整flag)

技术要点总结

  1. 目录扫描:robots.txt是常见的信息泄露点
  2. CMS漏洞利用:BeesCMS v4.0存在SQL注入漏洞
  3. 内网信息收集:获取内网IP后进行扫描
  4. 漏洞识别与利用
    • WebLogic CVE-2020-2551
    • MySQL CVE-2012-2122认证绕过
    • RMI未授权访问
  5. 权限提升:MySQL UDF提权技术
  6. 横向移动:通过已获取的系统在内网中寻找其他目标

工具使用

  1. 目录扫描工具(如dirsearch)
  2. fscan内网扫描工具
  3. Goby扫描工具
  4. MySQL客户端
  5. WebLogic漏洞利用工具
  6. RMI利用工具

防御建议

  1. 定期更新CMS系统
  2. 禁用robots.txt或确保不泄露敏感信息
  3. 为MySQL设置强密码并限制远程访问
  4. 及时更新WebLogic补丁
  5. 配置RMI服务的安全策略
  6. 实施网络分段,限制内网横向移动
2021极客谷杯决赛渗透靶场1全解教学文档 靶场概述 这是一个包含7个flag的内网渗透靶场,目标系统为模拟的企业内网环境。参赛选手需要通过各种渗透技术获取不同目标服务器的权限,最终获取全部flag。 靶机信息 初始访问点:1.13.24.8 (端口80) 内网IP范围:172.16.25.0/24 Flag获取详细步骤 Flag6 获取方法 : 对目标网站进行目录扫描 发现并访问 /robots.txt 文件 直接获取flag 结果 : Flag7 获取方法 : 识别网站使用BeesCMS v4.0 利用BeesCMS v4.0 SQL注入漏洞 构造注入payload获取管理员凭据: 获取到加密的管理员密码: ae3700364f2111b2cea75d8e19d2331 (MD5解密后为 aabbccdd@123 ) 使用获取的凭据登录后台(用户名:bs_ admin,密码:aabbccdd@123) 通过后台文件上传功能获取webshell 通过webshell获取flag 结果 : Flag1 获取方法 : 通过已获取的webshell检查系统目录 在 /tmp 目录下发现flag文件 结果 : Flag5 获取方法 : 获取内网IP信息:172.16.25.10 设置代理进行内网扫描 使用fscan扫描发现以下服务: 172.16.25.10:80 172.16.25.1:80 172.16.25.16:3306 (MySQL) 172.16.25.30:7001 (WebLogic) 172.16.25.1:22 识别WebLogic版本存在CVE-2020-2551漏洞 利用该漏洞获取flag 结果 : Flag3 获取方法 : 发现MySQL服务(172.16.25.16:3306) 尝试使用root/root123登录失败 识别存在CVE-2012-2122漏洞(MariaDB/MySQL认证绕过漏洞) 使用以下Python脚本利用该漏洞: 成功登录MySQL后查找flag 结果 : Flag4 获取方法 : 根据提示使用MySQL UDF提权 通过UDF提权获取系统权限 获取flag 结果 : Flag2 获取方法 : 对内网进行全面端口扫描 发现172.16.25.20开放32222和40909端口(RMI服务) 利用RMI未授权访问漏洞执行命令 获取flag 结果 : 技术要点总结 目录扫描 :robots.txt是常见的信息泄露点 CMS漏洞利用 :BeesCMS v4.0存在SQL注入漏洞 内网信息收集 :获取内网IP后进行扫描 漏洞识别与利用 : WebLogic CVE-2020-2551 MySQL CVE-2012-2122认证绕过 RMI未授权访问 权限提升 :MySQL UDF提权技术 横向移动 :通过已获取的系统在内网中寻找其他目标 工具使用 目录扫描工具(如dirsearch) fscan内网扫描工具 Goby扫描工具 MySQL客户端 WebLogic漏洞利用工具 RMI利用工具 防御建议 定期更新CMS系统 禁用robots.txt或确保不泄露敏感信息 为MySQL设置强密码并限制远程访问 及时更新WebLogic补丁 配置RMI服务的安全策略 实施网络分段,限制内网横向移动