先看一下描述:
一、靶机搭建
1. 靶机下载
下载地址:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova
2. 靶机导入
第一步:导入(打开虚拟机–>选择下载的靶机–>选择存储路径–>导入)
注:会报导入失败的错误,点击重试即可。
第二步:导入后,删除网卡并重新添加(NAT网卡)
第三步:启动虚拟机
二、信息收集
1. nmap扫描确定靶机ip
nmap -sS -Pn 192.168.159.0/24
继续扫描
获得靶机ip:192.168.159.173
开放端口:22、80等端口,是Apache服务器
2. web界面访问
发现拒绝访问,试着查看一下页面源代码
三、漏洞利用
根据以上信息收集模块,我们了解要用x-forwarded-for
使用firefox插件ModHeader,添加请求头X-Forwarded-For
然后刷新页面,发现可以成功访问
我们发现,有登录既然来到这里了,那我们就扫一下目录试试
dirb http://192.168.159.173
格式:dirb <url_base> [<wordlist_file(s)>] [options]
-a 设置user-agent
-p <proxy[:port]>设置代理
-c 设置cookie
-z 添加毫秒延迟,避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索
扫出/config和/misc两个目录,我们试着访问一下这两个目录
打开config.php和process.php,发现是一片空白
有个robots.txt,访问下看看
发现下面有个heyhoo.txt,哇,有惊喜,打开看看
是我胡思乱想了,还是老老实实拿shell吧,我们回到登录页面
在这里一顿乱试,输了个username:admin,password:123,居然成功登录进去
我们发现里面有个profile文件,点一下试试,跳转到我登录的页面,好了,开整!!!
眼睛亮的童志们想必发现了,在登录后的url的参数user_id=14,而不是1,那么之前的那些用户名中是不是藏有管理员的登陆密码呢?
修改url的参数为1:
突然发现框中值都变了,那么我们依次输入值,那么数字那么多,最大应该是多少呢?
最大的数值是14,因为我们登录账号后,我们的ID是14
想看到password的值也非常简单,右键点击检查,from表单中input value的值即为密码,或者把type="password"为type=“text”
依次类推
将这些密码遍历出来,先放到记事本中。当然这里可以写脚本,本人小白一个,不是很会写,会的大佬可以试一试
id=1
Eweuh Tandingan
eweuhtandingan
skuyatuh
id=2
Aing Maung
aingmaung
aingmaung
id=3
Sunda Tea
sundatea
indONEsia
id=4
Sedih Aing Mah
sedihaingmah
cedihhihihi
id=5
Alice Geulis
alice
4lic3
id=6,7,8
我尝试的
id=9
Abdi Kasep
abdikasepak
dorrrrr
id=10,11,12,13 我尝试的,不对
id=14
zzz
admin
123
登进去了
那么既然账号密码有了,就尝试呗,还犹豫什么。
因为下载靶机的时候,有一个靶机背景description,所以我们首先尝试 用户名:alice,密码:4lic3
居然成功了
查看一下目录文件
发现一个小秘密,查看一下
得到第一个flag,并且有一段提示,翻译一下,意思是第二个flag必须要提权了
格雷特,我哥哥!你看到爱丽丝的便条了!现在保存记录信息给bob!我知道如果给了他,鲍勃会受伤的,但这总比鲍勃被骗好! 现在您的最后一个任务是访问根目录并读取flag^_^
再查看一下my_notes.txt
哇哦!我喜欢这家公司,我希望这里有一个比鲍勃更好的合作伙伴,希望鲍勃不知道我的笔记
没啥用,那就整root吧
四、提权
因为是apache服务器,看一下网站的配置文件/var/www/html
得到数据库账号密码,尝试提权
拿到第二个flag,over!!!
1300
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
