ISCC 2022 实战题 Writeup

只做出了阶段一内网服务器漏洞利用，很简单，但是这套壳VPN我是无语了（时不时断掉，需要我手动重启）。

抓包看了一下，是在本地 1080 起了一个 Socks5的代理，我们直接使用 Proxifier 配置一下。

选手利用VPN客户端可以登入内网服务器Server1，该内网服务器被安全团队指出拥有某种漏洞，但内网管理员仍未采取任何安全措施。
Server1与内网服务器Server2定时通信（通信程序名为Heartbeat），通信时使用NSCP协议。
选手需要挖掘并利用系统漏洞，获取Heartbeat程序的进程号，提交正确的进程号及解题思路即视为阶段一解题成功。

禁 ping 了，探测不了 端口 ，直接访问 ip ，有个 gitlab 的服务

登录注册均为 500 或 422 ，常见路径走一下，在 http://172.18.0.4/public 发现版本是 13.9

百度一波，搜到一个CVE-2021-22205，版本号符合，而且无法登录注册，所以很大几率就是这个未授权RCE

github 找个脚本：https://github.com/Al1ex/CVE-2021-22205

由于一开始不知道路径，直接 vulhub 起一个漏洞环境，发现安装目录是

1

/home/git/gitlab

我们直接往 public 的样式文件夹 assets 写，其实直接往 public 目录写也行。

1

python .\CVE-2021-22205.py -a true -t http://172.18.0.4/ -c "ps -aux > /home/git/gitlab/public/assets/12222.txt"

直接访问172.18.0.4/assets/12222.txt 得到 Heartbeat 的进程号2053741