ME AND MY GIRLFRIEND: 1靶场渗透测试
一、环境部署
靶场:ME AND MY GIRLFRIEND: 1,下载地址:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova
攻击机:kali 2023.4
环境:VMware
网络:nat
二、信息收集
#先查看攻击机网络信息
ifconfig
#c段扫描
nmap 192.168.48.0/24
获取了靶机IP地址为192.168.48.132,开放端口为22,80
三、参数越权信息泄露
在浏览器中打开192.168.48.132
提示只有本地ip可以访问,查看源码收集信息
源码提示我们使用使用X-forwarded-for,这是一个可以伪造http请求头的插件
x-forwarded-for header插件
结合之前的提示,只有在本地网络中可访问,于是将请求头IP设置为127.0.0.1
果然,设置为127.0.0.1之后就访问成功了
查看源代码,并没有什么信息
所以注册一个用户,然后登录,看看有没有线索
参数越权
注册成功之后登录,发现地址为:http://192.168.48.132/index.php?page=dashboard&user_id=12
分析这个地址,用户id=12,那是否可以更改id值查到其他用户的信息呢?
还真行,我们一个个看,发现passwd是保存在网页里面的,说明我们可以直接F12查看用户密码,加上之前我们知道了alice也在公司里面,所以这里应该也有Alice的用户信息,我们一个个试
果然我们在id值为5的时候找到了Alice的用户信息,于是F12查看一下密码
得到用户和密码:alice:4lic3
其实这一步收集到了好多用户名和密码,所以也可以一个个在ssh里面试但是靶场描述里面好像说了这是Alice的电脑,所以我们优先尝试这一对密钥
四、php提权
成功登录,查看有什么文件在默认登录目录下,
#查看所有文件,包括隐藏文件
ls -A
#查看历史命令
cat .bash_history
发现有隐藏目录,进去里面看看有什么文件
得到第一个flag,并且提示我们下一个flag需要提权获取:
Flag 1 : gfriEND{2f5f21b2af1b8c3e227bcf35544f8f09}
看看这个mynotes,感觉bob头上快有点绿了呀
查看当前用户的权限:
sudo -l
(root) NOPASSWD: /usr/bin/php意思就是可以直接免root执行php脚本
那我们直接用一句php提权脚本
sudo php -r 'system("/bin/bash");'
提权获取第二个flag:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Xrt2VZWN-1690564909137)(https://s2.loli.net/2023/07/29/SF1artKkJuOQMNq.]
这里可以直接到/root 目录下看有什么文件也可以直接用find命令去搜索,均可以得到flag2.txt
flag2:
Flag 2: gfriEND{56fbeef560930e77ff984b644fde66e7}
可以直接用find命令去搜索,均可以得到flag2.txt
[外链图片转存中…(img-6EbtFupZ-1690564909139)]
flag2:
Flag 2: gfriEND{56fbeef560930e77ff984b644fde66e7}