Me-and-My-Girlfriend-靶机
环境:下载靶机、解压、VMware打开,并将其和kali虚拟机的网络调成NAT模式
靶机描述:
Description
[Back to the Top](https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/#top)
Description: This VM tells us that there are a couple of lovers namely Alice and Bob, where the couple was originally very romantic, but since Alice worked at a private company, "Ceban Corp", something has changed from Alice's attitude towards Bob like something is "hidden", And Bob asks for your help to get what Alice is hiding and get full access to the company!
Difficulty Level: Beginner
Notes: there are 2 flag files
Learning: Web Application | Simple Privilege Escalation
信息收集:有 Alice 和 Bob
一.明确目标
探测目标主机IP情况
nmap 192.168.153.0/24
目标主机IP:192.168.153.154
Kali的IP:192.168.153.129
二.信息搜集
Nmap 进行常规端口开放扫描
nmap 192.168.153.137 -p- -A
目标靶机开放了22端口,80端口
在浏览器中访问 http://192.168.153.154
在线翻译一下两句话,说此网站只能在本地访问,搜索一下如何使用x-forward -for
X-Forwarded-For 是一个 HTTP 扩展头部。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP。如今它已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(Forwarded HTTP Extension)标准之中。
使用dirb命令对靶机网站目录进行扫描
dirb http://192.168.153.154
dirsearch -u 192.168.153.154 #也可以进行目录扫描
扫到如下结果:
http://192.168.153.154/robots.txt
http://192.168.153.154/config/
http://192.168.153.154/misc/
分别在浏览器对其访问
http://192.168.153.154/robots.txt
发现了/heyhoo.txt,再进行访问
提示需要继续进行侦察,攻击和得到shell
分别访问http://192.168.153.154/config/,http://192.168.153.154/misc/
发现其都没有什么可以利用的!!!
在这里视乎没有什么头绪,最前面有一个英文提示:大概意思说此网站只能在本地访问,搜索一下如何使用x-forward -for
发现在火狐浏览器中有x-forward -for的插件,下载并添加。
设置好插件的IP地址127.0.0.1,再次访问http://192.168.153.154/
然后挨个标签点一下看看,发现除了注册页面,其他地方都没有什么端倪。我们尝试注册一个账号试试。
注册登录后,发现在Profile下存放着用户的用户名以及密码。按F12查看源码,可以看到明文密码。
并且我们发现在地址栏中的URL有漏洞可以利用。我自己创建的账号登陆成功后,最后显示这个user_id=12,那似乎说明user_id还可以等于12之前的数字。我们挨个尝试来修改一下看效果。
最终在user_id=5,发现了alice用户。
得到了用户名为alice,密码为:4lic3的信息。
三.尝试SSH登录目标靶机
使用用户名:alice,密码为:4lic3,登录。
成功登录!!!!
得到第一个flag:
flag1中提示我们下一步应该尝试获取到root权限。
四.提权
这里可以使用sudo提权,查看一下当前用户的sudo能使用那些命令
sudo -l #显示当前用户的权限,当前用户可以以root身份执行操作
发现能用root执行php命令。
sudo php -r “system(‘/bin/bash’);” #用php回调bash提权
whoami
成功得到Root权限!!!!!!!!!得到最后一个flag
五.总结
1.信息收集
端口发现80和22
通过80,使用x-forwarded-for头,就可以看到web后台
扫描80的目录,看到一些空白的php文件,虽然前端是空白,后面如果可以查看php内容,这些就是重点查看对象
2.web权限
进入后台,添加用户后可以通过user_id越权查看所有的用户信息
3.shell权限
利用前面得到的信息,对ssh进行尝试登录
4.权限维持
使用ssh进行连接登录,发现flag
5.提权(两种方式)
查看sudo,发现php命令可以临时具备root,通过sudo php进行权限提升拿到flag
(补充:在/var/www/html/config下的config.php文件,发现数据库root和密码:ctf_pasti_bisa,直接登录)