【技術分享】滲透測試實戰-BlackMarket靶機入侵

前言

最近一直再Down各種靶機，但是也是看靶機的名字比較酷才下載，不過后面覺得不止止是名字酷還比較難，本菜在工作之余做的，整整花了近10天時間才全部搞定，其中也踩了很多坑，不過真的還是學到不少新東西（比較菜，可能對各位大佬來說不算新技術），故寫出這篇文件分享/記錄整個過程。本次測試已拿到全部Flag和拿下主機root權限為止。

（如果大家條件允許的情況下可以先試著自己搭建自己先搞一遍，再來看這篇文章！）

準備環境

靶機IP：192.168.1.128

攻擊IP：192.168.1.129

靶機下載地址：https://pan.baidu.com/s/1w-kAhbYZ-ubWFgUhO2AtmA

實操

nmap神器開路：

可以看到該靶機開放了多個端口，老規矩我們還是從WEB端入手看看有沒有什么突破，

訪問網站，一個普通的登陸界面，我們查看源碼，拿到第一個flag:

flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

看到這個flag編碼是不是很熟悉？沒錯base64，解密后為：CIA – Operation Treadstone （后面出現的所有flag都是該編碼，不重復說明了。）

拿到這個信息，肯定是Google一波，得到一個介紹的站點：

使用cewl來爬取該關聯網站來生成字典，命令：

cewl -d -m -w out.txt http://bourne.wikia.com/wiki/Operation_Treadstone

查看字典

使用hydra爆破FTP（跑這個密碼時加載產生了幾十萬條數據，破解到奔潰…）

得到賬號密碼： nicky / CIA

登錄FTP，拿到flag：

flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy} (此處為：Congrats Proceed Further 恭喜進行進了一步)

If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

(注，為了文章美觀才把flag2寫在這里，其實這個flag本菜是后面才找到…本flag也可以通過后面的webshell拿！)

我們繼續回到80端口，通過跑目錄得到多個目錄

其中發現了supplier目錄，試著用supplier/supplier 登陸進了系統…

然后切換到/admin 目錄，在查看，編輯其他用戶時，發現每個用戶對應的id值都不一樣，如”user“是id=2，“supplier”是 id=4，創建一個新用戶ID變成9，

有經驗的小伙伴已經明白后面該怎么搞了，我們創建一個admin賬號，id改為1,密碼隨意，拿到第四個flag:

Login Success, Welcome BigBOSS! here is your flag4{bm90aGluZyBpcyBoZXJl} Jason Bourne Email access ????? （此處為：nothing is here 此處沒有）

在測試中還發現了，在創建用戶處有SQL注入，我們使用sqlmap跑一波

sqlmap -r 666.txt --dump -C FlagId,Information,name -T flag -D BlackMarket

拿到flag3:

flag3: Find Jason Bourne Email access

通過提示讓我們獲取email的密碼，flag4里已經得到密碼為????? 賬號為jbourne

（小伙伴們肯定要說居然都已經有注入了，直接跑出MD5解密啊，然而你知道嗎，解不出來，解不出來你知道嗎….）

我們在跑數據庫的時候發現有一個叫“eworkshop“的數據庫（后面用得到）

我們已經知道了郵箱的賬號密碼，訪問/squirrelmail/登陸，并得到flag

Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=} （此處為：Everything is encrypted 一切都是加密的）

除了這個flag還有一些郵件往來對話，表示無法破譯下面的這些文字，并還說疑似俄語混淆大家… 大家感受一下

Sr Wrnrgir

Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg

dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl

KzhhKzhh.qkt rm liwvi gl szxp rm rg.

本菜在這里被坑了很久，最后琨總告訴我這是置換密碼（古典加密）…

通過https://www.quipqiup.com/ 解密得到：

Hi Dimitri

If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

通過以上信息得知/kgbbackdoor目錄下有個后門，本菜使用目錄爆破工具加載上自有的最強的字典也還是沒有跑出來，于是我想到數據庫里那個數據庫名，使用crunch在workshop頭尾都加上可能會出現的字母數字，繼續掛上字典跑目錄

得到目錄/vworkshop

訪問并下載PassPass.jpg，有經驗的小伙子應該就知道了，密碼再這張圖片里

密碼為: Pass = 5215565757312090656

那么密碼有了，我們還差一個后門地址，繼續開啟爆破得到：

http://192.168.1.128/vworkshop/kgbbackdoor/backdoor.php

返回200,訪問頁面是這樣的，WTF？？？

查看源碼發現可疑點，在apache下面有個隱藏的輸入框…（GET到一招藏shell的技能！！！！！）

然后你就興沖沖的輸入上面那個密碼，然而密碼是錯的….

其實那個是密碼的十進制，需要轉換：

十進制：5215565757312090656 -》十六進制：4861696c4b474400 -》ASCii: HailKGD

密碼為:HailKGD

成功登陸后門shell，拿到flag：

flag6{Um9vdCB0aW1l} （此處為Root time）

(前面說的flag2,也可以直接通過這個訪問/home/nicky/ftp/ImpFiles/IMP.txt)

下一步提權就比較簡單了, 在有權限的目錄下上傳提權EXP，反彈一個shell，執行該EXP即可。

本菜這次提權使用的臟牛，提權成功！