前言

  • 因为参加了上一届的护网,大致知道本届的一些流程情况

  • 比赛持续十天共抽取三个目标,完成目标后形成报告去裁判评分,进行排名

过程

目标一

  • 该目标为供应链公司,为名下企业提供技术支持

  • 裁判认定为打穿

外网

  1. 在外网信息收集阶段发现重要系统:nacos 、xxl-job、minio

  2. 通过nacos权限认证绕过导出配置,在配置文件发现xxl-jobminio账号密码

  3. minio内发现该公司相关文件,并找到与员工相关文件得到工号信息

  4. 使用工号爆破sso,设置密码为123456,成功找到一些账户并使用公司的导航主页,比较重要的系统是企业邮箱为后续埋下伏笔

内网

  1. 内网入口为xxl-job反弹shell

  2. 通过入口开始扫描和搭建代理

  3. 通过fscan对内网进行扫描找到一些ssh数据库弱口令等常规扫描信息

  4. zabbix的数据库内发现有运维的邮箱和密码,登陆后可以看到与下属公司的邮件往来,并发现该公司的"祖传密码"

  5. 通过收集到密码组成密码本对该公司内网的ssh和数据库进行爆破共找到约200台可连接的linux

  6. 在数据库找到和sso相关的表,通过解密对一些主要人员的账号进行登录,如 运维、企业老总

  7. 通过sso登录到运维的企业邮箱,在邮件内发现该公司的网络架构,sslvpn等相关信息

  8. 根据网络架构针对性的扫描和爆破后结束目标

结束

  • 整理完报告细节后去给裁判汇报,分项拿满后开始下一个目标

目标二

  • 该目标为大学

  • 该目标的外网资产只有学院的站群和深信服的sslvpn

外网

  1. 因为该学校的外网只有sslvpn只能对vpn进项下手,在vpn的介绍处发现有默认密码(该校只能老师使用vpn),在一处泄露找到老师工号信息

  2. 我们几个通过泄露的工号手动一位一位的爆破,终于找到能用的vpn账号

内网

  1. 通过连接vpn成功进入到该大学的内网

  2. 开始扫描内网时的时候发现该校的应急速度很快,会删除vpn账号、清理后门而且凌晨还在干活,开始跟运维对抗

  3. 在痛失vpn后,我安排一位同事一直手动爆破,结果是好的,找到有十几个vpn账号

  4. 有了更多的vpn账号后开始权限维持隐藏后门等,在内网不使用危险的操作

  5. 根据扫描结果开始测试,拿到站群、摄像头、门禁等相关系统

结束

  • 汇报后因为没拿到教务相关系统没有满分

目标三

  • 该目标在外网只有阿里云的机器,很难进入到内网

外网

  1. 外网只有个geoserver服务,该系统存在命令执行漏洞,通过命令执行成功上线到cs

  2. 通过cs读取到系统密码,并使用rdp进行连接,找到一些数据库

  3. 始终无法进入到内网、没招那只能近源

近源

  1. 通过抓取wifi的握手包,并使用针对性的字典,成功使用hashcat跑出wifi密码

  2. 等到晚上,在车里连接到wifi开始扫描本地内网的资产,发现他们本地内网的机器都不出网

  3. 因为只能在晚上所以就通宵了一个晚上,打的比较仓促拿了几十台window服务器和数据库

  4. 只能拿一些系统分和数据分

结束

  • 这个目标因为只能近源再加上机器不出网打的很难受,汇报算分的只拿到满分的三分之二