信息收集
kali和靶机同属一个网段
靶场下载:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova
ip
arp-scan -l
ip:192.168.195.131
端口
端口开放:22和80端口
nmap -p 1-65535 -A 192.168.195.131 #探查全端口的详细信息
访问80页面
80端口可以访问,但是没有其他信息
作为一个hacker,基本的技能就是不能看到什么就信什么,查一下源代码
抓包改
添加http请求头
X-Forwarded-For: 127.0.0.1
一个home页面,一个login页面,一个register页面和一个about页面
home是当前页
about是提醒我们只能本地访问的那个页面
每次请求都需要添加
X-Forward-For: 127.0.0.1
属性进行操作
登录页面
注册页面
使用wappalyzer插件没发现任何有用的信息,只探查到使用了php语言
目录扫描
先用dirsearch扫一遍
如果没有dirsearch ,使用以下命令进行安装
apt install dirsearch
dirsearch -u http://192.168.195.131/
可用信息筛选
config存在配置文件
文件为空,不可用
登录页面之前看过了,直接看robots.txt
访问heyhoot.txt页面
渗透
首先想一想如何渗透,让我们重连,然后访问,获取shell,难道是…
为了方便,我使用了hackBar,火狐的hackbar v2是免费的,火狐直接搜索就行
直接注册一个账号看看,账号密码全为test
登录进去发现有点东西,还有个user_id,是不是有越权情况?修改id尝试以下
越权
发现确实存在越权情况,查看源代码,发现账号密码存在前端
一直测到user_id=5的时候发现名字有些熟悉
看源代码
拿账号密码测22端口
22端口
直接登录成功
提权
提权方式无非就那几种
- sudo 提权
- suid 提权
- 定时任务提权
- 环境变量提权
- 内核提权
sudo提权
sudo提权最简单,直接尝试一下
发现存在sudo 命令
直接去https://gtfobins.github.io/查命令
提权成功
查找flag2
总结一下
靶场还是比较简单的,这个靶场主要是考查http请求头,X-Forwarded_For属性的使用,然后就是考虑到越权的问题,提权的方法我之前的一遍靶场内有总结,有兴趣的朋友可以看看。传送门