靶机BlackMarket

工具：nmap、dirbuster、dirb、sqlmap、cewl、crunch、hydra

涉及的漏洞：弱口令

垂直越权

SQL注入

CVE-2016-5195脏牛提权(内核竞争提权漏洞)

flag1

这个靶机有六个flag，五个常规的flag和一个root权限下的flag。

寻找靶机IP地址

nmap -sP 192.168.1.*

发现主机，靶机IP地址192.168.1.9

nmap -p- -sS -v -sV 192.168.1.9

扫描靶机开放的端口。开放了ftp服务、Web服务。



访问80端口拿到一个登陆界面。查看源码在最后面拿到第一个flag。Web登录页面没有验证码，ftp也可以访问，但是需要账号密码，这里保留对两处爆破的想法。



base64解密得到的结果是CIA - Operation Treadstone，google了一下这好像是一部影片

flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

flag2

从WP来看能搜索到一个介绍CIA - Operation Treadstone的网站https://bourne.fandom.com/wiki/Operation_Treadstone

利用cewl爬取网站生成关联词字典。

cewl https://bourne.fandom.com/wiki/Operation_Treadstone -d 1 -w BlackMarket_dic.txt

拿生成的字典对账号密码利用hydra进行爆破。爆破ftp

因为cewl太给力，爬了几千条数据，账号密码结合爆破产生了二十多万条数据，后面自己删成一百多条进行爆破，还好可以爆破，不然还真不知道得等多久。



拿到ftp的账号密码登录。在ftp里面拿到第二个flag.

flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop.
You must find out and hack it!
如果有人阅读了此消息，则意味着您处在正确的轨道上，但是我对CIA黑市车辆工作坊一无所知。
您必须找出并破解它！

flag3

这提示跟没有似的，没懂什么意思。在渗透测试中如果遇到阻碍，那就继续进行信息搜集。

扫目录：



访问这个302可以跳转到另一个登录界面。



看到了Squirrelmail的版本号， 搜一波Squirrelmail远程代码执行漏洞(CVE-2017-7692)，但是这个漏洞的前提是有一个可以登录的邮箱账号和密码，那先放在这吧。

其实自己做到这里思路断了，不知道用什么方法去拿到Web服务下的账号密码。其实这里是利用了弱口令。/supplier这个目录会302重定向到Web登录界面，账号密码就是supplier/supplier。自己还是嫩了点。登录到网站的后台。之后就是一个垂直越权漏洞，在扫目录的时候还扫到了/user和/admin目录。我们可以从/supplier目录越权到/admin。



成功越权到admin用户。因为校验session的时候没有与一起目录进行校验，导致垂直越权。

接着在编辑用户资料的时候发现了url存在id参数



加个单引号报错，再加个单引号恢复正常，存在sql注入。尝试SQLMap注入:

sqlmap -r post.txt --level 5 --dbs --batch

获取库名

sqlmap -r post.txt --level 5 -D BlackMarket --tables --batch

获取表名

sqlmap -r post.txt --level 5 -D BlackMarket -T flag --column --batch

获取列名。



拿到flag3,意思是查找Jason Bourne电子邮件访问权限

flag4

拿到flag4是利用了平行越权漏洞，漏洞点还是在修改用户信息处，没创建一个新的用户，都会相应的产生一个新的id,不同的id对应不同的用户，将id修改成1，密码改成123，用户名改成hel10.成功的覆盖了admin的密账号，现在hel10这个账号对应的id为1，也就是对应到了管理员权限。



然后用hel10/123登录，拿到flag4，告诉我们Jason Bourne邮箱的密码是?????

flag5

一开始我们就拿到了一个邮箱的登录界面，开始的想法是利用已知的漏洞去攻击，但是现在可以不用了，我们知道了密码。用户名应该和Jason Bourne有关，试了一下，用户名是Jbourne。用Jbourne/????登录。

在邮箱里面拿到flag5,意思是他拿到一段信息不会解密。



啥也不说，没见过(置换密码(古典密码))。解密平台https://www.quipqiup.com/



告诉我们/kgbbackdoor，目录下他留了一个后门，后门是一张叫PassPass.jpg的图片，但是没有路径。前面目录爆破也没有。前面我们暴数据库的时候有一个eworkshop的库。



利用crunch生成字典进行爆破。



利用dirb爆破路径拿到路径。



访问http://192.168.1.9/vworkshop/kgbbackdoor/PassPass.jpg拿到图片、



拉到winhex。拿到后门密码



但是缺少后门路径，这个地方靠直觉了，没爆破出来。存在backdoor.php。那么后门路径就是

http://192.168.1.9/vworkshop/kgbbackdoor/backdoor.php

有一个隐藏的密码输入框看网页源码可以发现，将我们从后门图片拿到的密码输入进入，但是不对，这里需要转进制，密码是十进制的，转成十六进制再转成ascii为HailKGB。直接输入发现并没有发应，这里需要用POST传pass=HailKGB。从flag.txt拿到flag6，base64解密是Root time。

Root flag-提权

接着开始提权，先在kali监听6666端口

nc -lvnp 6666

然后利用后门的网络连接工具连接到kali的6666端口。



成功的连接到kali，利用python构建一个交互式的shell。查看系统内核。linux系统，内核版本4.4.0-31-generic。google一下可以知道这个版本可以利用CVE-2016-5195脏牛提权。这是一个内核竞争提权漏洞。



搜索脏牛漏洞的exp。我们利用第三个竞争提权的exp。



将exp复制到kali上面来，用python -m SimpleHTTPServer 8848，开启一个简单的服务，靶机用wget将exp从kali下载过去(记得下载到/tmp目录，这个目录有写入权限)。然后编译执行



拿到root权限

总结

做这个靶机花了两天的时间，中间经历了不少的挑战，但是都解决了。现在清点一下自己是怎么做的吧。cewl爬取的数据太多导致爆破时间超长。cewl一下子就爬了几千个数据，结合爆破产生了大量的数据，后面自己手动缩减了数据，只留下了一百多条，但是居然暴出来了。运气好吧。

再就是第一次用到了越权漏洞。在爆破目录的时候发现了/supplier目录和/admin目录，登录到/supplier目录下后，抓包修改可以越权到/admin目录，真的是惊喜。之后会对靶机中使用的工具和漏洞做深入的学习。包括工具的原理、漏洞成因和修补方法。

参考链接：

https://www.anquanke.com/post/id/106855

https://www.jianshu.com/p/f41e467f29d0