環(huán)境

VMware
kali
BlackMarket靶機

BlackMarket靶機下載
主要內(nèi)容

1镀层、主機發(fā)現(xiàn)
2攀例、目錄爆破
3船逮、sql注入
4、垂直越權(quán)
5粤铭、臟牛提權(quán)

實戰(zhàn)

0x1挖胃、尋找靶機ip

啟動靶機，配置橋接[如下圖2mac]模式，發(fā)現(xiàn)需要登錄酱鸭，沒有賬號吗垮，無法進入linux查看靶機ip。利用nmap進行主機發(fā)現(xiàn)nmap -sP -T4 192.168.1.1/24

主機發(fā)現(xiàn)

掃描出多個ip,怎么知道那個是靶機呢凹髓？vmware查看靶機mac地址

mac

0x2、信息收集

查看開放端口nmap -F -T4 192.168.1.104---> -F:表示常用100個端口

查看端口

查看服務(wù)版本nmap -sV -T4 192.168.1.104

版本

思路:
21/tcp ftp服務(wù)：---->可以嘗試hydra爆破
80/tcp http： ---->.git泄露蔚舀，sql注入饵沧，遍歷目錄等等
995/pop ssl/pop3 ---> crsf,釣魚

0x3、滲透測試

html代碼審查
嘗試訪問80端口赌躺，發(fā)現(xiàn)是登錄界面狼牺，查看源代碼，發(fā)現(xiàn)flag1礼患。flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}
flag1--->base64進行解碼得:CIA - Operation Treadstone是钥。google搜索發(fā)現(xiàn)一篇有關(guān)它文章。使用cewl [cewl是一個ruby應(yīng)用,結(jié)果會返回一個單詞列表] 來爬取該關(guān)聯(lián)網(wǎng)站來生成字典缅叠，命令：
cewl https://bourne.fandom.com/wiki/Operation_Treadstone -d 1 -w ftp.txt

hydra爆破ftp
hydra 192.168.1.104 ftp -l ftp.txt -P ftp.txt -e ns -vV
賬號密碼： nicky / CIA 悄泥，登錄拿到flag2

目錄掃描
利用嘗試跑目錄---->dirbuster[kali自帶] 或者 windows的御劍。

tips:向這種交易網(wǎng)站后臺路徑就直接google交易網(wǎng)站后臺路徑字典
dirbuster也是比較好用的

目錄

發(fā)現(xiàn)存在302跳轉(zhuǎn)，存在supplier目錄全闷。嘗試:supplier/supplier 登錄逛薇，成功。同時發(fā)現(xiàn)存在admin目錄余寥，
垂直越權(quán)
抓包嘗試普通用戶越權(quán)到admin用戶。

越權(quán)

成功越權(quán)悯森，這里服務(wù)器為每個用戶創(chuàng)建了一個用戶名的目錄宋舷，校驗session的時候沒有與一起目錄進行校驗，導(dǎo)致垂直越權(quán)瓢姻。

成功

來到管理頁面

sql注入
編輯用戶祝蝠，發(fā)現(xiàn)存在sql注入，sqlmap進行測試幻碱，sqlmap一把梭

edit.txt

sqlmap -r edit.txt --level 5 --dbs
BlackMarket
sqlmap -r edit.txt --level 5 -D BlackMarket --tables
Flag
sqlmap -r edit.txt --dump -C FlagId,Information,name -T flag -D BlackMarket

sqlmap注入成功

這里創(chuàng)建用戶也存在绎狭，不過這里就用用戶編輯注冊，防止產(chǎn)生大量垃圾數(shù)據(jù)褥傍。

越權(quán)
創(chuàng)建一個普通用戶ese/123`,編輯普通用戶名密碼儡嘶，發(fā)現(xiàn)每個用戶對應(yīng)的id值都不一樣.
如”user“是id=2，“supplier”是 id=4恍风，創(chuàng)建一個新用戶ID變成7蹦狂，服務(wù)器可能是以id判斷用戶誓篱，嘗試修改id，id隨著用戶的增加越來越大凯楔，這就比較容易想到admin的id為1窜骄。:

修改密碼

發(fā)現(xiàn)修改成功。以ese/123進行登錄摆屯。

3.png

登錄成功邻遏，發(fā)現(xiàn)是管理員，這里服務(wù)器代碼應(yīng)該修改密碼的時候自己根據(jù)id來進行更新虐骑，導(dǎo)致ese/123覆蓋了原來admin的賬號党远。拿到flag4。

flag4告訴我們jbourne的密碼為?????富弦，根據(jù)掃到的目錄squirrelmail訪問http://192.168.1.104/squirrelmail/用jbourne/?????進行登陸沟娱，成功登陸。隨便翻一下郵箱內(nèi)容腕柜，得到flag5,同時還有一個串密文济似。古典加密
https://www.quipqiup.com/進行解密得:

Hi Dimitri
If you are reading this I might be not alive. 
I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder 
you must have to PassPass.jpg in order to hack in it.

需要flag2中的提示，進行爆破目錄盏缤，發(fā)現(xiàn)http://192.168.1.111/vworkshop/kgbbackdoor/PassPass.jpg
然后把這個圖片保存在本地砰蠢，用notpad++打開，最后一行有一個密碼唉铜，asciihex解密得到密碼:HailKGB

發(fā)現(xiàn)存在的后門:http://192.168.1.104/vworkshop/kgbbackdoor/backdoor.php 訪問發(fā)現(xiàn)404台舱，審查源碼發(fā)現(xiàn)存在post提交密碼。將得到的HailKGB用post方式發(fā)送--->利用hackbar或者bp直接修改包潭流，成功進入后門竞惋。

后門
查看管理員用戶cat /etc/passwd

查看用戶

發(fā)現(xiàn)最高是root。

提權(quán)
linux服務(wù)器很多情況下管理員會設(shè)置目錄權(quán)限灰嫉，我們無法修改拆宛，但是一般/tmp/目錄不會被設(shè)置權(quán)限。
嘗試?yán)眠M行臟牛（Dirty COW）漏洞提權(quán)讼撒，上傳dirtycow的掃描器[dirtycowscan.sh]和exp[dirtycow.c]---->腳本[好多臟牛exp提前都會導(dǎo)致死機]:

上傳dirtycow的exp

反彈shell---->python -c 'import pty;pty.spawn("/bin/bash")'

shell

發(fā)現(xiàn)存在臟牛漏洞浑厚。

image.png

進行提權(quán)操作

提權(quán)

成功進行提權(quán)到root。

參考:https://www.anquanke.com/post/id/106855