天融信杯决赛

图是丑了点,图中也有错的地方,就不要在意了。(比赛时间是2016年7月23-24号)

一进门,一扫,人手一台kali虚拟机,受不了。

四台堡垒机

刚开始拓扑图都还没看懂,表哥们都已经开始攻击了。

开始物理机IP正确但是连不上,虚拟机的window系统也连不上。

只有Linux能连上去,加上不是平时自己用的电脑,心态爆炸。

想用小伙伴的电脑,发现没配环境。

ssh连后两台堡垒机,发现了administrator目录,打开一看是joomla的,猜测会存在java反序列化漏洞。

但是手上的电脑只有别的反序列化脚本,唯独缺了joomla的脚本,所以检测不了。

就在这时,duang的一声,组委会的人站了出来说话,说有hint。

看了下,第一台必须要用弱口令才能登录,第二台绕过登录。

后两台还真是有反序列化。

所以就开始掏手机找hackUtils脚本了。

直到了吃饭时间,在吃饭的时候讨论了一下,发现小伙伴是有这脚本的。

回来现场,重启了电脑,重新配置ip,发现是和之前的不一样的,网关变了(怪不得之前一直连不上)

脚本有了,但是我一直用错命令。

所以很可惜、

最后拿了个三等奖。

第一台堡垒机的writeup:Fire-ant

!坚持技术分享,您的支持将鼓励我继续创作!