環(huán)境

VMware
kali
BlackMarket靶機(jī)

BlackMarket靶機(jī)下載
主要內(nèi)容

1、主機(jī)發(fā)現(xiàn)
2、目錄爆破
3、sql注入
4、垂直越權(quán)
5、臟牛提權(quán)

實(shí)戰(zhàn)

0x1、尋找靶機(jī)ip

啟動(dòng)靶機(jī)，配置橋接[如下圖2mac]模式，發(fā)現(xiàn)需要登錄，沒有賬號(hào)，無法進(jìn)入linux查看靶機(jī)ip。利用nmap進(jìn)行主機(jī)發(fā)現(xiàn)nmap -sP -T4 192.168.1.1/24

主機(jī)發(fā)現(xiàn)

掃描出多個(gè)ip,怎么知道那個(gè)是靶機(jī)呢？vmware查看靶機(jī)mac地址

mac

0x2、信息收集

查看開放端口nmap -F -T4 192.168.1.104---> -F:表示常用100個(gè)端口

查看端口

查看服務(wù)版本nmap -sV -T4 192.168.1.104

版本

思路:
21/tcp ftp服務(wù)：---->可以嘗試hydra爆破
80/tcp http： ---->.git泄露，sql注入，遍歷目錄等等
995/pop ssl/pop3 ---> crsf,釣魚

0x3、滲透測(cè)試

html代碼審查
嘗試訪問80端口，發(fā)現(xiàn)是登錄界面，查看源代碼，發(fā)現(xiàn)flag1。flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}
flag1--->base64進(jìn)行解碼得:CIA - Operation Treadstone。google搜索發(fā)現(xiàn)一篇有關(guān)它文章。使用cewl [cewl是一個(gè)ruby應(yīng)用,結(jié)果會(huì)返回一個(gè)單詞列表] 來爬取該關(guān)聯(lián)網(wǎng)站來生成字典，命令：
cewl https://bourne.fandom.com/wiki/Operation_Treadstone -d 1 -w ftp.txt

hydra爆破ftp
hydra 192.168.1.104 ftp -l ftp.txt -P ftp.txt -e ns -vV
賬號(hào)密碼： nicky / CIA ，登錄拿到flag2

目錄掃描
利用嘗試跑目錄---->dirbuster[kali自帶] 或者 windows的御劍。

tips:向這種交易網(wǎng)站后臺(tái)路徑就直接google交易網(wǎng)站后臺(tái)路徑字典
dirbuster也是比較好用的

目錄

發(fā)現(xiàn)存在302跳轉(zhuǎn)，存在supplier目錄。嘗試:supplier/supplier 登錄，成功。同時(shí)發(fā)現(xiàn)存在admin目錄，
垂直越權(quán)
抓包嘗試普通用戶越權(quán)到admin用戶。

越權(quán)

成功越權(quán)，這里服務(wù)器為每個(gè)用戶創(chuàng)建了一個(gè)用戶名的目錄，校驗(yàn)session的時(shí)候沒有與一起目錄進(jìn)行校驗(yàn)，導(dǎo)致垂直越權(quán)。

成功

來到管理頁面

sql注入
編輯用戶，發(fā)現(xiàn)存在sql注入，sqlmap進(jìn)行測(cè)試，sqlmap一把梭

edit.txt

sqlmap -r edit.txt --level 5 --dbs
BlackMarket
sqlmap -r edit.txt --level 5 -D BlackMarket --tables
Flag
sqlmap -r edit.txt --dump -C FlagId,Information,name -T flag -D BlackMarket

sqlmap注入成功

這里創(chuàng)建用戶也存在，不過這里就用用戶編輯注冊(cè)，防止產(chǎn)生大量垃圾數(shù)據(jù)。

越權(quán)
創(chuàng)建一個(gè)普通用戶ese/123`,編輯普通用戶名密碼，發(fā)現(xiàn)每個(gè)用戶對(duì)應(yīng)的id值都不一樣.
如”user“是id=2，“supplier”是 id=4，創(chuàng)建一個(gè)新用戶ID變成7，服務(wù)器可能是以id判斷用戶，嘗試修改id，id隨著用戶的增加越來越大，這就比較容易想到admin的id為1。:

修改密碼

發(fā)現(xiàn)修改成功。以ese/123進(jìn)行登錄。

3.png

登錄成功，發(fā)現(xiàn)是管理員，這里服務(wù)器代碼應(yīng)該修改密碼的時(shí)候自己根據(jù)id來進(jìn)行更新，導(dǎo)致ese/123覆蓋了原來admin的賬號(hào)。拿到flag4。

flag4告訴我們jbourne的密碼為?????，根據(jù)掃到的目錄squirrelmail訪問http://192.168.1.104/squirrelmail/用jbourne/?????進(jìn)行登陸，成功登陸。隨便翻一下郵箱內(nèi)容，得到flag5,同時(shí)還有一個(gè)串密文。古典加密
https://www.quipqiup.com/進(jìn)行解密得:

Hi Dimitri
If you are reading this I might be not alive. 
I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder 
you must have to PassPass.jpg in order to hack in it.

需要flag2中的提示，進(jìn)行爆破目錄，發(fā)現(xiàn)http://192.168.1.111/vworkshop/kgbbackdoor/PassPass.jpg
然后把這個(gè)圖片保存在本地，用notpad++打開，最后一行有一個(gè)密碼，asciihex解密得到密碼:HailKGB

發(fā)現(xiàn)存在的后門:http://192.168.1.104/vworkshop/kgbbackdoor/backdoor.php 訪問發(fā)現(xiàn)404，審查源碼發(fā)現(xiàn)存在post提交密碼。將得到的HailKGB用post方式發(fā)送--->利用hackbar或者bp直接修改包，成功進(jìn)入后門。

后門
查看管理員用戶cat /etc/passwd

查看用戶

發(fā)現(xiàn)最高是root。

提權(quán)
linux服務(wù)器很多情況下管理員會(huì)設(shè)置目錄權(quán)限，我們無法修改，但是一般/tmp/目錄不會(huì)被設(shè)置權(quán)限。
嘗試?yán)眠M(jìn)行臟牛（Dirty COW）漏洞提權(quán)，上傳dirtycow的掃描器[dirtycowscan.sh]和exp[dirtycow.c]---->腳本[好多臟牛exp提前都會(huì)導(dǎo)致死機(jī)]:

上傳dirtycow的exp

反彈shell---->python -c 'import pty;pty.spawn("/bin/bash")'

shell

發(fā)現(xiàn)存在臟牛漏洞。

image.png

進(jìn)行提權(quán)操作

提權(quán)

成功進(jìn)行提權(quán)到root。

參考:https://www.anquanke.com/post/id/106855