ISCC 2022 实战题 Writeup

2 min read

只做出了阶段一内网服务器漏洞利用,很简单,但是这套壳VPN我是无语了(时不时断掉,需要我手动重启)。

抓包看了一下,是在本地 1080 起了一个 Socks5的代理,我们直接使用 Proxifier 配置一下。

选手利用VPN客户端可以登入内网服务器Server1,该内网服务器被安全团队指出拥有某种漏洞,但内网管理员仍未采取任何安全措施。 Server1与内网服务器Server2定时通信(通信程序名为Heartbeat),通信时使用NSCP协议。 选手需要挖掘并利用系统漏洞,获取Heartbeat程序的进程号,提交正确的进程号及解题思路即视为阶段一解题成功。

ping 了,探测不了 端口 ,直接访问 ip ,有个 gitlab 的服务

image-20220512135934803

登录注册均为 500422 ,常见路径走一下,在 http://172.18.0.4/public 发现版本是 13.9

image-20220512140032867

百度一波,搜到一个CVE-2021-22205,版本号符合,而且无法登录注册,所以很大几率就是这个未授权RCE

image-20220512140158124

github 找个脚本:https://github.com/Al1ex/CVE-2021-22205

由于一开始不知道路径,直接 vulhub 起一个漏洞环境,发现安装目录是

/home/git/gitlab

image-20220512140525047

我们直接往 public 的样式文件夹 assets 写,其实直接往 public 目录写也行。

python .\CVE-2021-22205.py -a true -t http://172.18.0.4/ -c "ps -aux > /home/git/gitlab/public/assets/12222.txt"

image-20220512140420435

直接访问172.18.0.4/assets/12222.txt 得到 Heartbeat 的进程号2053741

image-20220512140746859