Vulnhub Me-and-My-Girlfriend 1靶机思路分析

最新推荐文章于 2024-06-19 14:19:56 发布
最新推荐文章于 2024-06-19 14:19:56 发布
阅读量1.6k 收藏 9
点赞数 3
分类专栏: Vulnhub 文章标签: linux 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43576794/article/details/117857096
版权

Vulnhub Me-and-My-Girlfriend 1靶机思路分析

背景描述:有一对恋人,即Alice和Bob,这对夫妻本来很浪漫,但是自从Alice在一家私人公司“ Ceban Corp”工作以来,爱丽丝对鲍勃的态度发生了一些变化是“隐藏的”,而鲍勃(Bob)寻求您的帮助,以获取爱丽丝(Alice)隐藏的内容并获得对该公司的完全访问权限!

Me-and-My-Girlfriend:
下载地址:
https : //download.vulnhub.com
环境:

Vmware 15 Pro虚拟机软件

Me-and-My-Girlfriend靶机IP地址:192.168.146.130
Kali的IP地址:192.168.146.128

主机渗透系统:
kali2021
安装好虚拟机后挂载Vmware运行
在这里插入图片描述
信息搜集

局域网内主机发现
扫描局域网所有设备(所有设备IP、MAC地址、制造商信息)

root@kali:~# arp-scan -l

在这里插入图片描述
通过nmap扫描可以找出靶机开放端口,版本,服务等

nmap -sS -Pn -A -p- -n 192.168.146.130

在这里插入图片描述
我们登录网页
在这里插入图片描述
看不出什么,打开源代码分析一下
在这里插入图片描述添加头部信息
我们使用火狐上一个插件,比较方便
在这里插入图片描述

在这里插入图片描述
看到有注册
进去注册
在这里插入图片描述
之后登录
在这里插入图片描述
漏洞利用
登录用户,没什么发现
在这里插入图片描述
页面的URL是user_id=第一时间想到sql注入,但没有成功
于是尝试改变id值,发现账户密码有变化,说明存在水平越权
在这里插入图片描述在这里插入图片描述

可以查看密码
尝试一下,把收集的帐号密码保存在文档进行破解ssh
在这里插入图片描述

hydra -L user.txt -P pass.txt ssh://192.168.146.130 -vV

在这里插入图片描述
ssh 登录
在这里插入图片描述
在my_secret目录下找到了flag1
在这里插入图片描述查看文件发现没有root权限,查看可以使用php提权

在这里插入图片描述
百度提全方法
在这里插入图片描述
在这里插入图片描述提权成功,找到flag2.
完成本靶机.
在这里插入图片描述

半夏风情
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
CTF之Me and My Girlfriend1 靶机渗透(伪造x-forwarded-for)
afei001
08-08 496
目录 练习环境 1.发现靶机,端口扫描 2.网站探测 3.伪造x-forwarded-for 4.SSH逐一尝试,可能会有某个账号重密 5.尝试重密码提权 总结 练习环境 攻击机:kali 靶机:Me and My Girlfriend: 1 下载地址:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova 注意:该靶机有两个flag 1.发...
Vulnhub靶机渗透之Me and My Girlfriend
realmels的博客
06-28 2101
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 SQL注入(2)——各种注入 SQL注入(3)——SQLMAP SQL注入(4)——实战SQL注入拿webshell 介绍 Vulnhub它是一个提供各种漏洞环境的平台,官方链接:https://www.vuln.
入门靶机渗透之Me And My Girlfriend
Yaphst的博客
03-06 6418
靶场介绍 靶场下载地址:点击进入下载界面 下载.ova文件,在VMware中导入该虚拟机,导入完成后开启虚拟机。 这个靶场背景告诉我们有一对恋人,即 Alice 和 Bob,这对情侣原本很浪漫,但自从 Alice 在一家私人公司“Ceban Corp”工作后,Alice 对 Bob 的态度发生了一些变化,就像“ 隐藏”了什么,Bob 请求您帮助以获取 Alice隐藏的内容并获得对公司的完全访问权限! 信息收集 打开我们的Kali,查看kali的ip地址,为192.168.123.154 由于是靶机环境
Me and My Girlfriend靶机渗透
她叫常玉莹
09-07 664
背景描述:这个VM告诉我们,有一对恋人,即Alice和Bob,这对夫妻本来很浪漫,但是自从Alice在一家私人公司“ Ceban Corp”工作以来,爱丽丝对鲍勃的态度发生了一些变化是“隐藏的”,而鲍勃(Bob)寻求您的帮助,以获取爱丽丝(Alice)隐藏的内容并获得对该公司的完全访问权限! 信息收集漏洞利用提权 信息收集 内网主机发现比较喜欢使用arp-scan工具,工具轻量扫描速度比较快。扫描结果得知目标靶机的ip地址为192.168.0.106 使用nmap进行扫描 得知目标端口开放了22端口.
靶机攻略| Me-and-My-Girlfriend |
niext的博客
10-23 1556
1.靶机下载:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova 2.靶机介绍 难度:✯✯✯ 目标:拿到两个flag 3.启动虚拟机 3.1信息搜集 主机发现 使用arp-scan扫描出3个ip地址: 第一个是我的VM8网卡,第三个是我设置的网关,如此确定第二个是目标IP。并且我查看了靶机的MAC地址与扫描出来的一致。 端口扫描 使用nmap扫描发现:22,80.
MeAndMyGirfrend靶机
YshiliuH的博客
10-06 362
MeandMyGirlfriend
应急响应 –以me and my girlfriend 靶机为例
qq_58672257的博客
12-13 928
可以看到,只有root用户,但是root用户并没有登录,说明是alice做了一些操作进行了提权。可以看到,我们的ssh被暴力破解了,除了root用户,其他用户登录使用的ip都是88.1。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。前面已经进行了靶机的渗透测试,接下来我们以蓝方视角来进行应急响应。.bash_history这个文件是命令历史记录,我们查看一下。查看24小时内,有没有什么文件被修改过。
Does GPT-4 Know Me Better Than My Girlfriend_.pdf
06-30
这种方法展示了AI如何利用大数据和机器学习算法来分析个体的行为模式。 实验结果显示,GPT-4在预测作者人格特质方面的表现超过了其女朋友Julia。这表明,尽管人类的直觉和人际交往能力很强,但在处理大量信息和模式...
virtual-girlfriend:JavaScript语音识别的简单示例
05-12
虚拟女朋友一个简单JavaScript语音识别示例。 :laptop: 实时预览: :
Angular-what-is-my-girlfriend-thinking.zip
09-18
Angular-what-is-my-girlfriend-thinking.zip,Tensorflow.js。一个用于面部分类的tensorflow.js应用程序。我女朋友在想什么?,Angularjs于2016年发布,是Angularjs的重写版。它专注于良好的移动开发、模块化和改进的...
靶机系列测试 Me and My Girlfriend 11
08-03
介绍2.1 靶机介绍描述说明there are 2 flag filesWeb Application | Enumeration | Privilege Es
Robots-Stole-My-Girlfriend
07-02
可能与git clone git@github.com:MaTachi/Robots-Stole-My-Girlfriend.git 。 打开Eclipse。 将项目导入 Eclipse。 编译项目并运行它。地图编辑器地点可以在以下 URL 上找到地图编辑器: : 如何在 RSMG 中使用地图...
Vulnhub之Me-and-My-Girlfriend
weixin_42075643的博客
04-07 233
Vulnhub是一个很好的靶机平台,想看官网点这里 今天学习Me-and-My-Girlfriend,点击这里下载哦~ VMware和VirtualBox都可以导入 成功后如图: 这里修改连接为NAT模式 然后就开始玩耍吧~~ 攻击机:kali 192.168.81.140 因此用nmap探测靶机ip: nmap -Pn -sS 192.168.81.0/24 下图,靶机ip为192.168.81.145(ps:144为我的另一台虚机) 继续直接探测ip信息: nmap -A 192.168.8
vulnhub : Me and My Girlfriend
weixin_45112649的博客
01-15 291
练习+加深记忆固编写此文章。因为自身基础不够会在练习的过程中将不熟悉的东西查资料,并附在超链接中。
红队打靶:Me and My Girlfriend打靶思路详解(vulnhub
Bossfrank的博客
09-15 524
本文是vulhub靶机Me and My Girlfriend的打靶思路详解。本靶机较为容易,很明显的渗透攻击链,读者可直接盲打。涉及到的知识点包括XFF头转发的原理与使用、手工爆库、sudo php提权等。
Me and My Girlfriend:1
Alashan12的博客
03-29 2639
一、环境准备 搭建靶机环境 VMWare虚拟机镜像下载地址 https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova 配置VMware net模式下kali机可以联网 二、发现靶机 查看攻击机kali的ip为192.168.152.128 使用nmap扫描网段内的ip地址 启动靶机(kali和靶机需要均在net模式下) 在kali上再次扫描 可以确定192.168.152....
初试Vulnhub靶场之Me and My Girlfriend(上)
Mrs_H的博客
09-06 648
初试Vulnhub靶场之Me and My Girlfriend(上) 今天刚刚了解到一个靶场vulnhub,然后看了很多大佬的wp就想着自己写一个,刚刚好手头上有一个新下的靶机Me and My Girlfriend,稍稍把玩了一下,拿到了第一个flag,下面是我的方法 ...
VulnHub--Me-and-My-Girlfriend-1
记录笔记
04-04 1292
背景 有两个恋人,即Alice和Bob,这对夫妻本来很浪漫,但是自从Alice在一家私人公司“Ceban Corp”工作以来,爱丽丝对鲍勃的态度发生了一些变化是“隐藏”的,而鲍勃(Bob)寻求您的帮助,以获取爱丽丝(Alice)隐藏的内容并获得对该公司的完全访问权限! 需求 Me-and-My-Girlfriend-1 虚拟机 Kali Linux 2021 复现 调一下kali 设置 root权限 这个是mygirlfrienf 的net 网段在192.168.227.0 Kali的网段也是在19
Linux】Xshell和Xftp简介_安装_VMware虚拟机使用
最新发布
wosixiaokeai的博客
06-19 1390
Xftp是一个功能强大的SFTP、FTP文件传输软件,它允许MS Windows用户安全地在UNIX/Linux和Windows PC之间传输文件。Xftp支持SFTP协议,确保所有通过该软件的网络流量都是加密的。它采用了标准的Windows风格的向导,用户界面直观易用,可以很好地与其他Windows应用程序协同工作。Xftp的特色功能包括同步功能、直接编辑远程文件、多窗格支持、文件交换协议(FXP)支持等,这些功能使得文件传输更加容易和快捷。
7-4 女友标准(结构体)
05-25
struct girlfriend_criteria gf1 = {"Lisa", 22, 168.5, 52.0, "Reading, Traveling"}; // 输出女友标准信息 printf("Name: %s\n", gf1.name); printf("Age: %d\n", gf1.age); printf("Height: %.1f\n", gf1....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

半夏风情

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值