2019第二届安洵杯 线下赛记录

赛制很新颖，题目也不错（小吃和午饭也很到位

国际惯例，记录一下（

赛制

这次安洵杯跟之前的线下 AWD 赛制还是有挺大的区别的，分为两个同时进行

• AWD
• 域渗透

然鹅 AWD 没有 ssh，域渗透没有域，tcl（双关

AWD 赛制，三道 Web 题，先要拿到 flag 才能拿到 ssh。听起来挺不错的，但是只要有一个队拿到了 flag 就可以拿到 ssh 然后无限打，其他队就被打爆了（迷惑），所以感觉其实还是有点问题。实际线下实际操作是有队拿到了 flag，一般会很快下发 ssh（但是还是被打爆了

有一说一，三道 Web 题几乎都有送分点（但是我一直在折腾域渗透咕了，血亏

域渗透，是给两个外网 Linux 主机，一步一步渗透到 Win 的域环境里面（但是事实上没有人打到域环境里面

记录

Web 3

没看（

后来发 ssh 看了下，有两个预留后门

感觉题目环境有问题，web 目录用户是运维用户而不是 apache 的 www-data 用户，这样直接chmod -R 0755 ./就直接（几乎）杜绝写马了？（迷惑

Web 2

一个送分点，/robots.txt = cat /flag太草了（怪我没看

然后有个蜜汁的点，明显是为了出题而出的，就是node-serialize的反序列化。这个库万年不更新了，也没人用，个人觉得不太行

顺便 vim 都没，全程 sed 操作，过草

Web 1

没看（

Python2 Django 有个送分点，目录穿透，其他没太看

域渗透

域渗透没有域，太草了

拓扑

没记错的话，应该是这样的（

                      [         Win 2          ]
                      [      /          \      ]
Linux 1 -> Linux 2 -> [ Win 1 <---------> Win3 ]

Linux 1

Solr 的最近爆的洞，一搜就有 exp 了，总是有人搅屎，过草

网上的 exp 有个残废 shell，各种奇怪的问题，然后 /tmp 目录不可写？？？？？？？

后来说有目录可写，懒得找了。官方是丢内存里面执行，用 perl 来操作，另一个可写目录是 /var/tmp（草

我当时是直接msfvenom生成一个linux/x64的meterpreter丢/dev/shm了（共享内存你总不能 ban 吧），然后弹了个 meterpreter

arp -a 查一下，发现还有一台 Linux 2

Linux 2

Linux 1 没有 nmap，懒得扫端口了，直接访问 80 是个 Joomla，那肯定又是漏洞复现了

出题人别有用心的没有配 nginx 的伪静态，然后就很草了

改网上现成的 exp，总是各种问题，搞我心态，最后给index.php append 了一个马，总算是拿 shell 了（吐了

然后 Linux 1 上 nc 的端口总是弹不过去，又搞我心态。索性给 Linux 1 上配了个端口转发，直接弹回本机 msfconsole

然后被告知要提权，又到了 Linux 内核玄学提权时刻。用 python 整一个可以交互的 pty 出来，然后编译 exp 来跑。官方 wp 是 CVE-2019-13272，巧了我也是这个，同样的 exp 我就是提不了，嘻嘻

吐两口老血

顺便吐槽一下， CVE-2019-13272需要 gnome 桌面环境，本身就挺鸡肋的。现实环境会有服务器装个 gnome 桌面？感觉挺蠢的，有为了出题而出题的嫌疑

Win 1

简单的看了下，转发了 445 和 3389 出来试着打了下

是个 Win2k12 R2，永恒系列没了

然后试了下 bluekeep，也打不了，再见

总结

bgm 太草了，希望还是别放这种动词打次的 bgm 了，头是真的疼

题目其实还不错，域渗透的想法也是不错的，但是，做起来总是有点搞人心态啊，凑

网也是搞人心态，梯子一会挂，一会好，太草了

平台弹窗也挺蠢的，严重影响正常使用

（哎，说这么多，菜是原罪

总体还算不错，没拿到奖还是怪我一直纠结 Linux 2 太久了， AWD 基本没做