红桥杯渗透测试挑战赛 思路

Say Hello: https://tryhackme.com/jr/hongqiaocap2023sayhellovb
Ming Back: https://tryhackme.com/jr/hongqiaocap2023mingbacker

Say Hello：主要关注信息收集，从web扫描目录到vhost扫描，wordpess某插件存在sql盲注获得wordpress后台密码，在wordpress后台通过LD_PRELOAD绕过php disable fuctions后getshell，从ming家目录的一大堆日志里面存在一个重要信息，指向github某项目，这个github项目代码里面存在微信支付密码泄露，并且在var/backups下发现了ming用户所有的密码备份文件的gpg形式以及root的密码备份文件，通过密码重用解开gpg得到ming的密码。root有一个定时任务，利用cp对网站备份，但备份的目的目录是ming所有，并且var www html下我们可控，所以可以软链接复制var/backups下的root的密码备份文件，从而到root

Ming Back：typo3源码泄露，得到encryptionKey，这个key是服务端用来对序列化代码进行完整性验证，所以可以生成自己的反序列化代码并且传递相应的key进行rce，利用点在博客的文章中的评论框，参阅：www.synacktiv.com/en/publications/typo3-leak-to-remote-code-execution.html
getshell后在docker中，传个pspy或者查看opt发现了宿主机的ftp密码，并且发现了note.txt，结合起来，意味着：docker定时复制网站根目录到宿主机的ftp，再又宿主机进行备份，SayHello中使用了cp备份，那么这次可以猜测是使用了最常见的tar进行备份，顺理，可以猜测存在tar通配符注入，逃逸出docker后在宿主机的/opt下有一大堆脚本，通过pspy之类的我们可以直接获得ming的密码，然后继续查看opt下的某个脚本，移动到girlgod后，note.txt提示sudo，sudo -l发现有一个需要密码的sudo，但我们没有girlgod的密码，查看hacktricks，最终可以发现存在sudo会话劫持、注入漏洞，最终到root