渗透测试实战-BlackMarket靶机入侵-安全客

#前言

最近一直再Down各种靶机，但是也是看靶机的名字比较酷才下载，不过后面觉得不止止是名字酷还比较难，本菜在工作之余做的，整整花了近10天时间才全部搞定，其中也踩了很多坑，不过真的还是学到不少新东西（比较菜，可能对各位大佬来说不算新技术），故写出这篇文件分享/记录整个过程。本次测试已拿到全部Flag和拿下主机root权限为止。
（如果大家条件允许的情况下可以先试着自己搭建自己先搞一遍，再来看这篇文章！）

# 准备环境

靶机IP：192.168.1.128
攻击IP：192.168.1.129
靶机下载地址：https://pan.baidu.com/s/1w-kAhbYZ-ubWFgUhO2AtmA

# 实操

nmap神器开路：

可以看到该靶机开放了多个端口，老规矩我们还是从WEB端入手看看有没有什么突破，
访问网站，一个普通的登陆界面，我们查看源码，拿到第一个flag:
flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

看到这个flag编码是不是很熟悉？没错base64，解密后为：CIA – Operation Treadstone （后面出现的所有flag都是该编码，不重复说明了。）
拿到这个信息，肯定是Google一波，得到一个介绍的站点：

使用cewl来爬取该关联网站来生成字典，命令：
cewl -d -m -w out.txt http://bourne.wikia.com/wiki/Operation_Treadstone
查看字典

使用hydra爆破FTP（跑这个密码时加载产生了几十万条数据，破解到奔溃…）
得到账号密码： nicky / CIA

登录FTP，拿到flag：
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy} (此处为：Congrats Proceed Further 恭喜进行进了一步)
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

(注，为了文章美观才把flag2写在这里，其实这个flag本菜是后面才找到…本flag也可以通过后面的webshell拿！)

我们继续回到80端口，通过跑目录得到多个目录

其中发现了supplier目录，试着用supplier/supplier 登陆进了系统…

然后切换到/admin 目录，在查看，编辑其他用户时，发现每个用户对应的id值都不一样，如”user“是id=2，“supplier”是 id=4，创建一个新用户ID变成9，

有经验的小伙伴已经明白后面该怎么搞了，我们创建一个admin账号，id改为1,密码随意，拿到第四个flag:
Login Success, Welcome BigBOSS! here is your flag4{bm90aGluZyBpcyBoZXJl} Jason Bourne Email access ????? （此处为：nothing is here 此处没有）

在测试中还发现了，在创建用户处有SQL注入，我们使用sqlmap跑一波
sqlmap -r 666.txt --dump -C FlagId,Information,name -T flag -D BlackMarket
拿到flag3:
flag3: Find Jason Bourne Email access

通过提示让我们获取email的密码，flag4里已经得到密码为????? 账号为jbourne
（小伙伴们肯定要说居然都已经有注入了，直接跑出MD5解密啊，然而你知道吗，解不出来，解不出来你知道吗….）
我们在跑数据库的时候发现有一个叫“eworkshop“的数据库（后面用得到）
”

我们已经知道了邮箱的账号密码，访问/squirrelmail/登陆，并得到flag

Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=} （此处为：Everything is encrypted 一切都是加密的）

除了这个flag还有一些邮件往来对话，表示无法破译下面的这些文字，并还说疑似俄语混淆大家… 大家感受一下
Sr Wrnrgir Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl KzhhKzhh.qkt rm liwvi gl szxp rm rg.
本菜在这里被坑了很久，最后琨总告诉我这是置换密码（古典加密）…
通过https://www.quipqiup.com/ 解密得到：
Hi Dimitri
If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

通过以上信息得知/kgbbackdoor目录下有个后门，本菜使用目录爆破工具加载上自有的最强的字典也还是没有跑出来，于是我想到数据库里那个数据库名，使用crunch在workshop头尾都加上可能会出现的字母数字，继续挂上字典跑目录

得到目录/vworkshop

访问并下载PassPass.jpg，有经验的小伙子应该就知道了，密码再这张图片里

密码为: Pass = 5215565757312090656
那么密码有了，我们还差一个后门地址，继续开启爆破得到：
http://192.168.1.128/vworkshop/kgbbackdoor/backdoor.php
返回200,访问页面是这样的，WTF？？？

查看源码发现可疑点，在apache下面有个隐藏的输入框…（GET到一招藏shell的技能！！！！！）

然后你就兴冲冲的输入上面那个密码，然而密码是错的….
其实那个是密码的十进制，需要转换：
十进制：5215565757312090656 -》十六进制：4861696c4b474400 -》ASCii: HailKGD
密码为:HailKGD
成功登陆后门shell，拿到flag：
flag6{Um9vdCB0aW1l} （此处为Root time）

(前面说的flag2,也可以直接通过这个访问/home/nicky/ftp/ImpFiles/IMP.txt)