2025 神盾盃 FINAL 隨筆

, , , ,

Before all

Rank: 2
Team: CakeisTheFake
很開心,謝謝我的隊友 Aukro Naup Flydragon rota1001
這次參加了中科院辦的神盾盃,經過初賽(在我前面ㄉ文章有 Web 狗沒人權專心當 Crypto 狗的 Writeup (link)

只能說,不愧是中科,成本和獎金跟國內其他比賽比起來高到誇張(
這次的賽制是 每個隊伍都有獨立網域、然後分為霸主攻防(由萬年去年冠軍隊當霸主保護 pwn 靶機和寫 LLM 防護 Prompt)的 CTF 題目和 紅隊演練的大題(三個分層網段 + 十幾台機器的滲透大題)
計分是 紅隊 FLAG * (1+FLOOR(CTF 寶石數量/10)),然後寶石是一 round 拿一次 flag 得到兩顆,霸主 sla 壞掉大家都得一顆

隊上都是強大的 CTFer 和 Pwner,所以顯然滲透的重擔就落到我身上了 :D,這邊特別感謝隊友 FlyDragon 願意跳下來一起陪我看滲透

簡單放點看到的酷東西和照片就好,其實蠻難寫詳細 WP

Day 1

耶 五點起床搭車去台南

image

人生第一次的捷運首班車

image

一進去就看到酷酷的記分板
image

好耶看起來蠻好玩的 … 嗎?
不,一開始網路環境狗的跟什麼一樣 TwT,然後我的 VPN 上不去一早上,剛好我對面ㄉ飛龍電腦沒有 RJ45 可以接我們就一起沒網路ㄉ打了一早上 QQ

我印象比較深刻的事情就是:
(PWNER 三人組):打完 XXXX 洞我們只有 16 bytes RCE,他還不吃 wildcard 字元我要怎麼讀到那個 flag
然後他們講了老半天,我忍不住聽了一下:
你們有試過 ;sh
然後就過了,3 bytes 而已嘛~
這把也算是對 pwn 有貢獻了,不過海豹他們都很盡責地當霸主,被打兩回合後就會固定 patch 好 ww

到了大概 11.30 的時候我的網路終於可以連進去滲透靶機,掃了一下,一開始外網有五台: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
Nmap scan report for 192.168.10.24
Host is up (0.0050s latency).
Not shown: 980 filtered tcp ports (no-response)
PORT     STATE SERVICE
22/tcp   open  ssh
23/tcp   open  telnet
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
110/tcp  open  pop3
113/tcp  open  ident
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
256/tcp  open  fw1-secureremote
443/tcp  open  https
445/tcp  open  microsoft-ds
993/tcp  open  imaps
995/tcp  open  pop3s
1025/tcp open  NFS-or-IIS
1720/tcp open  h323q931
1723/tcp open  pptp
3306/tcp open  mysql
5900/tcp open  vnc
8888/tcp open  sun-answerbook

Nmap scan report for 192.168.10.31
Host is up (0.0031s latency).
Not shown: 986 filtered tcp ports (no-response)
PORT     STATE  SERVICE
21/tcp   open   ftp
42/tcp   open   nameserver
80/tcp   open   http
135/tcp  open   msrpc
443/tcp  open   https
445/tcp  open   microsoft-ds
1080/tcp closed socks
1433/tcp open   ms-sql-s
1723/tcp open   pptp
2222/tcp open   EtherNetIP-1
5060/tcp open   sip
5061/tcp open   sip-tls
8080/tcp open   http-proxy
9999/tcp open   abyss

Nmap scan report for 192.168.10.101
Host is up (0.0024s latency).
Not shown: 995 closed tcp ports (reset)
PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1433/tcp open  ms-sql-s
5985/tcp open  wsman

Nmap scan report for 192.168.10.254
Host is up (0.0019s latency).
Not shown: 998 closed tcp ports (reset)
PORT     STATE SERVICE
22/tcp   open  ssh
3389/tcp open  ms-wbt-server

後面重新打一打 才發現 .100 也有機器
Emm … 一開始有兩台 warmup 機器,跟後面內網滲透完全無關,分別是:

GLPI 的 CVE-2025-24801,預設密碼登入 + 更改可接受的檔案類別上後門
然後發現阿我的 shell.php 怎麼變成 shell.php.bak,改成上 .phtml 就過了ㄏ,事後 get shell 發現內部有 .sh 檔案 process 在防護
後面就是改 /opt/bin/monitor.sh,一個 root 會 cronjob 的檔案還 rwxrwxrwx,直接送上 shell 了(結果回去撈 flag 才知道 intended 是要先打 redis 提權成 jdoe user 再 root
另一台是 Tomcat LFI 上 JSP shell + python3.8 檔案的 Capabilities 有 +sid

最後就是在看 web01 靶機的時候他的 js file 裡面有一把 FLAG,然後第一天就結束了 … 對,我和飛龍都以為對方看過 LINPEAS 所以就一直在翻垃圾直到我們都鬼打牆大家不知道怎麼解,開了錦囊才發現超簡單就浪費了很多時間

第一天回家沒有回家作業 開心,但如果我要 PWN 可能就要, 雖然我隊友說不用?!

image

附上長途跋涉回 AIRBNB 的晚餐

image

還有臭豆腐但我疑似沒拍到 ;P,反正隊友有去買了牛肉湯吃

Day 2

image

紀錄幾個好玩的東西:

  • importxml 路徑有 Blind XXE,然後我丟了 NETBios SMB 路徑進去,在本地開 responder 就收到 NetNTLM Crack 掉 hash 就結束了ㄏ
  • 後面就是在上一台機器翻檔案, web api 的 source 有 DB01 的登入密碼,進去之後有 Linked Server 到 DB02,然後最後是 DB02 再連回去 DB01 就會變成 sa 權限?!?! 蝦 XD
  • 後面就是老套的 xp_cmdshell 開 shell,然後有 defender 所以掏出了自製小後門連回去 msf,最後 Potato 免殺一下就過關惹!
  • 後面就是 “Active Directory Enumeration via MSSQL Injection”,再用 DB02 去 Enum 整個內網的 User 然後撒一下 NPUser 之類的,可惜那時候在 DB01 Get shell 後找太久,還向太多以為在 browser 紀錄因為翻到電話號碼/email 那些資料,後面才發現是因為要在靶機安裝 mssql 相關ㄉ exe 的工作人員註冊訊息,開了錦囊 看了有一點點多沒用的提示 才知道要用 DB02 切ㄏ

但最後我們只輸給 B33F 50UP,這不是 DEVCORE 實習生就是打 PWN2OWN ㄉ怪物的隊伍,合情合理 XD
只能說題目真的很好玩品質也高,如果網路狀況能提上去就真的完美了

獎盃很漂亮!
image

又是三井

image

After all

比賽中途 官方自助點心
image

慶功宴隨手放
image

嘻嘻我去忙別的了,今天先寫到這