black market

black market
首页
文章

漏洞
SRC导航
内容精选

输入关键词搜索

APP 登录| 注册
渗透测试实战-BlackMarket靶机入侵
阅读量 33566 | 评论 27 稿费 300

分享到： QQ空间 新浪微博 微信 QQ facebook twitter
发布时间：2018-04-28 17:00:21

#前言
最近一直再Down各种靶机，但是也是看靶机的名字比较酷才下载，不过后面觉得不止止是名字酷还比较难，本菜在工作之余做的，整整花了近10天时间才全部搞定，其中也踩了很多坑，不过真的还是学到不少新东西（比较菜，可能对各位大佬来说不算新技术），故写出这篇文件分享/记录整个过程。本次测试已拿到全部Flag和拿下主机root权限为止。
（如果大家条件允许的情况下可以先试着自己搭建自己先搞一遍，再来看这篇文章！）

# 准备环境
靶机IP：192.168.1.128
攻击IP：192.168.1.129
靶机下载地址：https://pan.baidu.com/s/1w-kAhbYZ-ubWFgUhO2AtmA

# 实操
nmap神器开路：

可以看到该靶机开放了多个端口，老规矩我们还是从WEB端入手看看有没有什么突破，
访问网站，一个普通的登陆界面，我们查看源码，拿到第一个flag:
flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

看到这个flag编码是不是很熟悉？没错base64，解密后为：CIA – Operation Treadstone （后面出现的所有flag都是该编码，不重复说明了。）
拿到这个信息，肯定是Google一波，得到一个介绍的站点：

使用cewl来爬取该关联网站来生成字典，命令：
cewl -d -m -w out.txt http://bourne.wikia.com/wiki/Operation_Treadstone
查看字典

使用hydra爆破FTP（跑这个密码时加载产生了几十万条数据，破解到奔溃…）
得到账号密码： nicky / CIA

登录FTP，拿到flag：
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy} (此处为：Congrats Proceed Further 恭喜进行进了一步)
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

(注，为了文章美观才把flag2写在这里，其实这个flag本菜是后面才找到…本flag也可以通过后面的webshell拿！)

我们继续回到80端口，通过跑目录得到多个目录

其中发现了supplier目录，试着用supplier/supplier 登陆进了系统…

然后切换到/admin 目录，在查看，编辑其他用户时，发现每个用户对应的id值都不一样，如”user“是id=2，“supplier”是 id=4，创建一个新用户ID变成9，

有经验的小伙伴已经明白后面该怎么搞了，我们创建一个admin账号，id改为1,密码随意，拿到第四个flag:
Login Success, Welcome BigBOSS! here is your flag4{bm90aGluZyBpcyBoZXJl} Jason Bourne Email access ????? （此处为：nothing is here 此处没有）

在测试中还发现了，在创建用户处有SQL注入，我们使用sqlmap跑一波
sqlmap -r 666.txt --dump -C FlagId,Information,name -T flag -D BlackMarket
拿到flag3:
flag3: Find Jason Bourne Email access

通过提示让我们获取email的密码，flag4里已经得到密码为????? 账号为jbourne
（小伙伴们肯定要说居然都已经有注入了，直接跑出MD5解密啊，然而你知道吗，解不出来，解不出来你知道吗….）
我们在跑数据库的时候发现有一个叫“eworkshop“的数据库（后面用得到）
”

我们已经知道了邮箱的账号密码，访问/squirrelmail/登陆，并得到flag

Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=} （此处为：Everything is encrypted 一切都是加密的）

除了这个flag还有一些邮件往来对话，表示无法破译下面的这些文字，并还说疑似俄语混淆大家… 大家感受一下
Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.
本菜在这里被坑了很久，最后琨总告诉我这是置换密码（古典加密）…
通过https://www.quipqiup.com/ 解密得到：
Hi Dimitri
If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

通过以上信息得知/kgbbackdoor目录下有个后门，本菜使用目录爆破工具加载上自有的最强的字典也还是没有跑出来，于是我想到数据库里那个数据库名，使用crunch在workshop头尾都加上可能会出现的字母数字，继续挂上字典跑目录

得到目录/vworkshop

访问并下载PassPass.jpg，有经验的小伙子应该就知道了，密码再这张图片里

密码为: Pass = 5215565757312090656
那么密码有了，我们还差一个后门地址，继续开启爆破得到：
http://192.168.1.128/vworkshop/kgbbackdoor/backdoor.php
返回200,访问页面是这样的，WTF？？？

查看源码发现可疑点，在apache下面有个隐藏的输入框…（GET到一招藏shell的技能！！！！！）

然后你就兴冲冲的输入上面那个密码，然而密码是错的….
其实那个是密码的十进制，需要转换：
十进制：5215565757312090656 -》十六进制：4861696c4b474400 -》ASCii: HailKGD
密码为:HailKGD
成功登陆后门shell，拿到flag：
flag6{Um9vdCB0aW1l} （此处为Root time）

(前面说的flag2,也可以直接通过这个访问/home/nicky/ftp/ImpFiles/IMP.txt)

下一步提权就比较简单了, 在有权限的目录下上传提权EXP，反弹一个shell，执行该EXP即可。
本菜这次提权使用的脏牛，提权成功！

（大家尝试使用其他EXP提权）

感谢大家观看，如有哪里写的不对烦请联系小弟斧正！！

本文由安全客原创发布
转载，请参考转载声明，注明出处： https://www.anquanke.com/post/id/106855
安全客 - 有思想的安全新媒体
渗透测试 实战入侵 靶场攻击 实战演练

d3ckx1 分享到： QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读

ETW注册表监控windows内核实现原理
2019-02-21 14:30:47

WordPress 5.0.0远程代码执行漏洞分析
2019-02-21 11:30:53

Lucky双平台勒索者解密分析
2019-02-21 10:45:27

off by null漏洞getshell示例
2019-02-20 16:59:40
|发表评论
发表你的评论吧
昵称
Helen
换一个
|评论列表
带头大哥 · 2018-07-17 15:26:13 回复
输入密码怎么登陆不了shell

带头大哥 · 2018-08-25 20:37:01 回复
密码那里作者应该是笔误了，10进制转16进制是错的，密码应该是HailKGB

神奇小子 · 2018-06-17 00:37:53 回复
我的cewl下来字典里为什么没有CIA这个字符 命令是：cewl -d 1 -w out.txt http://bourne.wikia.com/wiki/Operation_Treadstone

幼稚园杀手-小呆呆 · 2018-05-24 01:29:00 回复
陈杰大表哥就是牛逼

杨教授 · 2018-05-12 21:14:16 回复
shell有密码为什么登陆不进去啊！！

白帽子 · 2018-05-07 23:35:23 回复
问一下那个改id的能不能详细说说老是不成功

Anonymous · 2018-08-17 11:02:04 回复
你的ID修改成功了吗

奈何桥的轮回ゝ · 2018-05-07 08:31:46 回复
老哥，，那个sqlmap跑注入点死活跑不出来，方便加个联系方式请教一下吗？

杨教授 · 2018-08-17 11:15:44 回复
666.txt的内容是

我不是黑客 · 2018-05-12 21:05:12 回复
注入点很多的

web渣渣 · 2018-05-07 19:57:07 回复
我也不知道怎么跑出来,望楼主直接在下面说吧

d3ckx1 · 本文作者 · 2018-05-07 16:31:24 回复
level，risk 都开到最高试试

Mickey牛 · 2018-05-02 15:42:55 1 回复
我用 cewl 爬下来的字典1W +，用hydra爆破的话预估1000h。大哥，你有什么技巧吗？

d3ckx1 · 本文作者 · 2018-05-02 16:06:23 回复
是啊，我原来也是这样，要好几天跑，奔溃，所有就把cewl可以设置的少一点，然后用爬下来的字典分成1快一块的跑，运气比较好，这样跑的比较少

Mickey牛 · 2018-05-02 16:25:13 回复
哈哈，是呀。刚刚虚拟机在跑子目录的时候，都把我主机给跑down了 :( 我第一次玩靶机，感觉这个和 CTF 很不一样，信息收集需要好长时间。 其他类似的站点都是这样嘛？

Xm17 · 2018-05-02 14:12:09 回复
靶机的账号密码是多少啊 需要登录 就是第二张图

d3ckx1 · 本文作者 · 2018-05-02 16:08:59 回复
靶机的账号密码我也不知道，不需要登陆的 你开启靶机他就会自动获取IP，然后你全段跑一下nmap或者使用netdiscover 探测出靶机IP，直接日就行

Mickey牛 · 2018-05-02 16:17:40 回复
我是直接修改了机器的root密码，然后看IP的

教主 · 2018-07-07 15:04:19 回复
怎么直接修改root密码

d3ckx1 · 本文作者 · 2018-05-02 16:24:08 回复
哈哈哈 一样的效果的 不过有一些靶机会把root密码的key写在一些奇怪的文件里，如果直接修改了root密码可能会导致key失效无法登陆，可以看我上一篇文章，最后有出现root key写在图片里

大表哥 · 2018-05-01 21:29:39 回复
这靶机vmdk文件导入vmware ws失败啊。。。

d3ckx1 · 本文作者 · 2018-05-02 09:12:18 回复
https://pan.baidu.com/s/13DE1_xZjOoIrVCM2MkiQ0g 您好，已经重新补上了官方的种子文件

男科圣手 · 2018-04-28 22:57:26 回复
方便一起学习吗

d3ckx1 · 本文作者 · 2018-05-02 16:11:06 回复
共同进步！维信好： D3c和谐k_cn 去掉和谐！

鱼刺小猫 · 2018-04-30 17:41:17 回复
不对，是参数

鱼刺小猫 · 2018-04-30 17:40:37 回复
请问这个nmap一般用什么命令扫描端口呀？

妇科圣手 · 2018-05-02 16:03:27 回复
nmap -A -T4 IP 最基本的

d3ckx1
广州渗透测试工程师--阿杰
文章
14
粉丝
74
TA的文章
灰帽黑客进阶秘籍之一——Linux栈溢出入门实战篇
2019-01-17 10:30:27
渗透测试实战-ROP靶机PWN+SolidState靶机入侵
2018-12-28 10:30:53
渗透测试实战-Fowsniff靶机入侵+HTB(hackthebox)入坑
2018-11-21 14:40:57
渗透测试实战-Raven：1靶机入侵
2018-11-14 16:30:10
渗透测试实战-bulldog 2靶机入侵
2018-09-27 16:30:30
输入关键字搜索内容
相关文章
GitHub上发布后即登顶的老司机渗透教程，你的小本本备好了吗？
HTB靶机渗透实战——Carrier
旧酒犹香——Pentestit Test Lab第九期（下）
旧酒犹香——Pentestit Test Lab第九期（上）
Redis未授权访问在windows下的利用
内网渗透知识基础及流程
hackthebox Oz靶机渗透
热门推荐
文章目录
#前言
# 准备环境
# 实操
安全客Logo
安全客
安全客
关于我们
加入我们
联系我们
用户协议
商务合作
合作内容
联系方式
友情链接
内容须知
投稿须知
转载须知
合作单位
安全客
安全客
Copyright © 360网络攻防实验室 All Rights Reserved 京ICP备08010314号-66
Loading...0daybank