渗透测试——BlackMarket

第一步：主机发现（找到渗透靶机的ip，使用工具为netdiscover，nmap）

在kali中使用命令安装netdiscover：apt install netdiscover

命令：netdiscover

默认扫描局域网内所有机器，这样的话扫描的是B类地址，所以时间会比较慢。我们也可以直接使用

命令：netdiscover -i eth0 -r 192.168.1.1/24

-i是指定网卡

-r是指定ip地址的范围

也可以使用nmap进行扫描发现靶机：

我们知道攻击机的ip为

因为blackmarket上网方式设置的是net所以使用命令nmap –sP 192.168.119.0/24扫描整个子网

扫描后我们发现靶机的ip

第二步：端口和服务识别

使用nmap进行端口服务的扫描，命令：nmap -T4 -A -v 192.168.119.131 -p 0-10000

我们看到，端口开放的其实挺多的，这其实是一个好消息，开放端口越多，给我们渗透测试的机会也就越多。

我们看一下这些端口的详细信息

发现了几个敏感的端口：

21--ftp

22--ssh

80--Apache服务

开着80端口，我们访问一下靶机的主页

发现就是一个一般的登陆框，那我们就从web开始入手，之前在打ctf类竞赛的题目的时候也就能做个web，web狗最难活啊。

扫一波：

倒是扫出点东西，但是访问后进不去。看看/robots.txt可不可以进去

这个******，心里就开始mmp了，看一下源代码吧，怎么想到的呢，没怎么想到就是闲的。

还是没有什么可疑的东西，回去登陆窗口，看一眼源代码，为什么老看源代码呢？因为我菜的真实呀

天无绝菜鸟之路，这一看真看出事儿来了，就这样找到了第一个flag，意外意外······不过这玩意好像长得像是base64，解码一下试试。

CIA - Operation Treadstone这是什么东西，越来越真实了。

接下来，我们用kali自带的工具cewl来爬行网站获取关键信息创建一个密码字典，命令:

cewl -d 1 -w out.txt http://bourne.wikia.com/wiki/Operation_Treadstone

参数解释：-m:最小单词长度
      -d:爬网深度
       -c:每个单词出现的次数

生成字典 out.txt :

根据前面端口扫描，我们发现他开启了ftp的21端口，使用kali自带的hydra进行爆破：（hydra用法详解：https://blog.csdn.net/zhaohongjuan/article/details/53838405 ）

时间过了好久好久

得到用户名和密码：nicky/CIA

我怀着一只菜鸟急迫的心情来登陆一下，

成功黑进ftp

一层一层的点开目录，发现第二个flag

flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}

下面还有一句话：

If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

看来事情并没有这么简单，还没结束······

不知到咋做了，那就调整御剑参数，让他的403和3XX都显示，再扫个目录，御剑启动

302跳转，403无法访问，能访问的也就一个登陆界面。

使用kali中自带的工具dirb，进行web的目录爬行。

这样一看还是kali比较牛逼一点

一个一个的尝试，也就只有/squirrelmail，/supplier这两个可以登陆，其他的都登不上去。

访问一下/supplier发现回到了最初的登陆界面

要尝试登陆了，在这里浪费了大量的时间，尝试了好多弱口令，都不行，最后发现，用户名和密码都是目录supplier/supplier

像是登进了后台，因为可以增删修改这些像是商品的信息。

现在是管理员身份了，想到dirb还扫出了一些登陆不上的/user；/admin现在登陆一下试试

 

由这个admin看来，已经是以管理员身份进入了后台，可以添加用户管理商品

但是在渗透测试中，拿到普通管理员权限还不满足，尝试提权，提权为超级管理员。现在的工作就是找一下网站存在的漏洞了，这个找漏洞的时候，一个是需要经验，要对漏洞有感觉，能敏锐的发现他们而不是在眼皮底下而找不到，当然经验和感觉一是靠知识储备，换句话说，也叫熟能生巧。二是有耐心，不是每个页面每个部分都存在漏洞的，这就需要耐心地去找，一点一点的去找。

天无绝菜鸡之路，在用户编辑方面，发现存在平行越权漏洞。

也就是说，当我们在编辑不同的用户的时候，用户的id参数不同，这就说明存在平行越权漏洞。我们也可以在这里自己建一个用户来测试一下。

可以看到我们新创建的用户的值了，有一个用户的id是5，我们尝试修改一下id的值

通过修改我们新建的用户，改变了其他的用户的信息，说明存在平行越权，板上钉钉的事了。这样的话我们创建用户把id修改成1，至于为什么是1，那就是感觉加经验了

然后重新登陆：

得到flag4，同样道理，商品发布的界面也存在平行越权，在burp抓包过程中出现id信息，提交方式为post那么sqlmap跑一波。

继续一层一层跑：

感觉这不是flag是一句话，并且Jason Bourne在用户信息出现过

起码我们知道用户名是jbourne了，结合前面的flag4

后面？？？？？很显眼。好了，密码就是？？？？？，试试，进入/squirrelmail

用户名：jbourne密码：？？？？？

成功！

在inbox.trash也就是回收站中找到flag5，又是base64，解密试试，得到Everything is encrypted

翻译两个人的话。

这个消息显然是加密的，但是无法解密，百度后查出则会是一个古典密码https://www.quipqiup.com

Hi Dimitri

If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

        通过以上信息得知/kgbbackdoor目录下有个后门，这个后门是一张名为PassPass.jpg的图片，但是得想办法找到上一级目录渗透测试果然不能忽视任何一个小细节，还记得我们用sqlmap跑出来两个数据库，一个叫 BlackMarket ，一个叫 eworkshop现在问题就在这  eworkshop 上，我们使用crunch来生成字典：

使用dirb跑这个字典

最后发现 /vworkshop 这个目录，我们结合提示，加上字段访问：

是一张写着Backdoor的后门图片，一看就不简单，用vim打开

密码为：Pass = 5215565757312090656

我们既然得到一个新目录 /vworkshop/kgbbackdoor ，下面应该好有好东西吧，我们dirb扫一下

额，什么也扫不出来，那也只有猜了，会不会存在backdoor.php，谁让他叫后门呢...

返回值是200，你给我玩这个...估计是敏感信息隐藏，查看源代码;

结合我们得到的密码....发现总是错误...

其实那个是密码的十进制，需要转换：

十进制：5215565757312090656

十六进制：4861696c4b474400

 ASCii: HailKGD

密码为:HailKGD

成功登陆后门shell，拿到flag：

       下一步提权就比较简单了, 在有权限的目录下上传提权EXP，反弹一个shell，执行该EXP即可。
本菜这次提权使用的脏牛，提权成功！

当然，大家也可以使用别的EXP提权。