小白渗透0-1：BlackMarket靶场渗透记录

#环境

攻击机：kali 192.168.200.129

靶机：BlackMarket

链接：https://pan.baidu.com/s/1S2m2g85m8mZBN67CnHXc-A?pwd=ifsh
提取码：ifsh

#目标

这个靶机有六个flag，五个常规的flag和一个root权限下的flag。即最终目标为获取靶机的root权限。

#工具

nmap dirb/dirsearch sqlmap cewl burpsuite

#利用漏洞

弱口令 ftp密码爆破 sql注入垂直越权 linux脏牛(CVE-2016-5195)

#步骤

第一天晚上：

获取靶机地址：

这里靶机和攻击机都用了NAT模式，所以两个机子应该是在同一C段里。用nmap扫描一下同网段的ip：

nmap –sP 192.168.200.0/24nmap：nmap –sP 192.168.200.0/24

访问了一下80端口，确认靶机的ip为192.168.200.151，并且开启了web服务。浏览器显示效果如下：

第一个flag：

在这里查看源码，得到了第一个flag。

到这里是很顺利的，然后，嗯。。卡住了。没见过世面的我在这里SQL、XSS、弱密码试了半天，后面看到第一个flag，这尼玛不是base64编码吗？

在线解码，得到提示：CIA - Operation Treadstone，google了一下好像是一部电影。

然后，还是不知道要做什么。闲着也是闲着，先扫一波路径，看看有没有什么后台进。

线索1 `CIA - Operation Treadstone`

kali自带的dirb扫了一下，确实扫到了几个路径。

dirb http://192.168.200.151

状态码302的会重定向，403的权限不够访问不了，所以其实最后也只扫到了两个可疑的网页：

线索2 两个可疑的网页

http://192.168.200.151/server-status -(403)

http://192.168.200.151/squirrelmail/src/login.php -(200)

第一个网页权限不够禁止访问；第二个网页google了一下，squirrelmail是一个web端的邮箱应用，存在远程代码执行漏洞(CVE-2017-7692)，但是前提是有一个账号能够登录进去。

这里又卡了好久，看了wp才知道dirb扫出了一个可疑路径名可以弱口令在首页登陆，还是太嫩了：

使用supplier/supplier账号密码成功登陆首页。

成功进入后台，这里可疑的利用点太多了，但是都没能进行有效地利用，浪费了好长时间。无奈，看wp才知道dirb扫出了/admin可疑目录，在这个目录下存在一个垂直越权漏洞。信息收集的重要性可见一斑~

进入dirb扫出的/admin目录，直接就拿到了普通管理员的身份：

在试验网站功能的时候，发现在编辑用户的时候使用了get传参，每一个用户都有一个不同的id。新创建了一个用户，发现id=7，而且每个用户都有一个专属的id。

抓包将id改为其他用户的id，成功将其信息修改。所以更改一个用户，抓包将其用户名改为admin，密码随意，id改为1(这里纯粹经验。虽然是师傅们的经验QAQ)

成功修改了超级管理员的身份信息。logout以后以admin用户登录，拿到了第4个flag。

第四个flag：

一个flag和一个线索:

线索3 `Jason Bourne Email access ?????`

一样解码看一下，这个flag提示nothing is here，所以就不在这里做其他尝试了。才怪！

在验证功能的时候发现注册用户的表单是存在SQL注入的。输了个1'and sleep(10)#直接浏览器卡死了。。不知道语句出了什么问题，应该是语句构建以后出错了。试了好几个浏览器，后面发现一开始试验的浏览器回显成功了，还把所有人的username改成了0，应该是到了超时时间，置了默认值吧。

sqlmap注入一下，得到了flag3：

第三个flag：

这里一开始我是用了burpsuite里的sqli sqlmap插件，不太会用。最后数据是查出来了，但是查错了。后面还是用了传统的文件post宕出了数据。

flag3提示我们要登陆Jason Bourne邮箱，根据线索2，猜测Jason Bourne的密码是?????。

回去访问线索2中的小松鼠web邮件应用。成功用jbourne/???登陆邮箱后台。

这里属实没绷住。用Jason Bourne和???登了好久，最后看sf的WP才知道，原来是之前用户里面有Jason Broune的username，但是我试验功能的时候瞎改，给改成默认值了。。这里附一张没改之前的截图吧。

想了一下确实是，做渗透测试的时候怎么可以乱改客户原有的数据？黑客和白帽应该是有本质上的不同，下次不会这样做了，也幸好这是一次模拟测试。

进入小松鼠后台，查看一下邮件数据，在收件箱草稿里面发现了flag5

第五个flag

此外，还有一段密文：

Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl fhv
KzhhKzhh.qkt rm liwvi gl tvg zxxvhh.

看着像置换密码，找个在线网站解密：

Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to use PassPass.jpg in order to get access.

到这里我才发现这个靶场是有剧情的！西撒~团长，不要放弃希望之花啊！！！！！！！！！

线索4 杰森同志告诉迪米特里，他将一个后门程序放在了/kgbbackdoor目录下。

这里师傅是爆破在/vworkshop下找到了这个目录，我没爆出来，直接用了sf的成果，这个黑产商城的前台页面在这里。

这个我就要吐槽一下了，你这后台要是藏得有这前台一半好，也不会暴露啊。。。还有杰森同志啊，你就不能把路径写全一点吗？而且你用这么顶的一张图，真的不会出事吗？这一眼看上去就是马啊。。

那这里就很明显了，图片隐写。101查看一下，成功得到后门密码。

那么后门程序在哪里呢？猜了一个backdoor.php，返回404了。

但是先别急，看看有没有隐藏属性，毕竟我自己传马都会做一个404页面。F12，看到有input，暗藏玄机。

用刚才拿到的密码登陆，错误。然后想到可能是十六进制转字符，转不出来。转成16进制再转字符，成功了。

兴冲冲的用这个密码去登陆，结果还是失败了。后面找了个师傅的WP，发现密码是HailKGB，登陆成功。这里我没太想明白，怎么会错一位。

我去，好大的一个马

访问flag.php，得到第六个flag

第六个flag

查看了一下内核和系统版本

lsb_release -a
uname -a

这里提权用的是[脏牛](GitHub - eseGithub/linux-root)。

下载exp。回到一个有权限的目录，上传exp，一般选用tmp目录(根目录下的)，这个目录一般是开放权限。

成功上传exp。

先验证一下是否存在漏洞。

./dirtycowscan.sh
验证结果：IS vulnerable

这里，因为切换用户命令必须在终端中执行，所以我们先用kali远程连接一下。

kali:        nc -lvp 7777    监听7777端口
用后门弹一个访问请求。
成功连接。

接下来执行exp

编译exp:       gcc dirtycow.c -o dirtycow lpthread
执行exp:      ./dirtycow

回显如下，提权成功。id查看当前用户，root权限到手。

看sf的WP是在得到第一个flag以后，用cewl生成第一个线索指向的wiki网站，生成字典，爆破ftp密码得到。我这里拿到了root权限，locate了一下ftp，看到txt，得到了flag2.

cat /home/nicky/ftp/ImpFiles/IMP.txt

第二个flag

图片转存中…(img-a51X1fZd-1656664179263)]

cat /home/nicky/ftp/ImpFiles/IMP.txt

第二个flag

至此，目标全部结束了。作为从0到1开始渗透的一个靶场，它足够有趣，整个过程像是侦探小说。趣味性很强，难度对我来说有点高了。基本上全程是跟师傅的WP复现QAQ，很惭愧。如果这是一次hack game，我会输的非常彻底。整个靶场渗透时长比较短，大概11个小时。希望自己以后多多加油吧~