靶机渗透之Me-and-My-Girlfriend

靶机名称： Me and My Girlfriend: 1

靶机难度：初级

靶机地址： https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409

靶机作者： TW1C3

靶机描述： 这个 VM 告诉我们，有一对恋人，即爱丽丝和鲍勃，这对情侣原本非常浪漫，但自从爱丽丝 在一家私人公司“Ceban Corp” 工作后，爱丽丝对鲍勃的态度发生了一些变化，就像有什么东西被 “ 隐藏 ” 了一样，鲍勃请求你的帮助，以获得爱丽丝隐藏的东西并获得对公司的完全访问权限！

目标：拿到两个flag!

一般靶机渗透的过程是主机发现---端口发现---web渗透---提权，也可以说成信息收集--渗透攻击--提权。首先先将靶机导入到VM。然后接下来的靶机渗透。

#  主机发现 

nmap扫描主机，可以通过排除的方式得到靶机ip为192.168.11.174.

nmap -sn 192.168.1.0/24

# 扫描端口

查看哪些端口开放，扫出结果发现有22，80端口是开放的。

nmap --min-rate 10000 -p- 192.168.11.174

接下来我们再对扫除的端口进一步重点探测，看看能了解端口上哪些具体信息。

其中参数-sT是使用TCP进行扫描，-sV是对扫描结果进行版本探测，-O是对操作系统进行判断。

nmap -sT -sV -O -p22,80 192.168.11.174

执行一下，结果如下，通过看扫描结果可以发现他们端口状态，服务，以及版本信息。

我们在针对UDP扫一下，以免落下蛛丝马迹

nmap -sU -p22,80 192.168.11.174

通过结果发现，啥也没有。

 

# 漏洞扫描

nmap --script=vuln [ip]

扫描常见的漏洞：nmap具备漏洞扫描的功能，可以检查目标主机或网段是否存在常见的漏洞。

nmap --script=vuln -p22,80 192.168.11.174

通过观察扫描结果，发现其中有 编号为CVE-2007-6750的CVE，CVE 的英文全称是“Common Vulnerabilities & Exposures”公共漏洞和暴露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字” 。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题 。

利用漏洞扫描可以扫出常见的漏洞，例如这个图片，通过观察可以发现其中包含csrf漏洞，所以这个很好用。

# 目录扫描

用御剑或者dirsearch对它的目录进行扫描，接下来分别展示两种方法进行扫描

首先用kali直接扫描

dirsearch -u "http://192.168.11.174/"

 来看一下扫描结果，扫出了一些目录，其中我们应该重点关注一下config,misc,robpts.txt。

 再来看看御剑扫出的东西吧，太慢了，就展示这些叭。

# 漏洞分析

上面我们扫出来config,misc,robpts.txt。这个robots.txt有点意思，它是网站管理者写给爬虫的一封信，里面描述了网站管理者不希望爬虫做的事，所以直觉告诉我这里面有东西。所以打开这个页面看看

再开

太棒了你现在需要的是侦察、攻击并获得炮弹。

继续打开其他页面config

打开config.php,发现页面空白。发现页面空白能想到的漏洞：文件包含，XXE 。当发现有这两个漏洞能读源码的时候再打开这些空白的页面。

没有有用的信息！！！

# 渗透攻击

打开登陆的页面看看

提示我们要使用本地登录。所以解决本地登陆的方法是：bp中代理设置-匹配与替换规则-添加-X-Forwarded-For:localhost

浏览器中bp80端口 打开，bp中代理关闭。成功绕过！

可以看到里面有home,login,register,about四部分，通过看到表单能想到sql注入漏洞，其次通过网址栏跳转可以发现改变id=?,能跳转不同的登陆页面。

看到网址栏中有id=?,抓包爆破

通过爆破发现id1、2、3、4、5、9都是存在用户的。去登陆一下

最后将所有用户名和密码分别写成一个文本形式，然后用弱口令检查工具爆破

这密码都是前端明文显示的，alice账号的密码是4lic3 ，我们尝试用ssh登录，如果数据库密码和ssh密码一致的话，我们就能够成功ssh，如下图，撞库成功了！

# 提权

查看文件，看看有没有flag文件

看到my_secret，打开看看，找到了第一个flag

我们要想办法提权，首先先sudo -l查看当前alice用户有哪些sudo权限：

有php的sudo权限，凡是sudo权限有语言的，都可以用这个语言构造反弹shell或启动shell的操作，这里咱也不用反弹shell，直接用php执行系统命令启动shell好了，命令如下：

sudo /usr/bin/php -r "system('/bin/bash');"

提权成功！

找到第二个flag

到此为止，靶机打完了。

# 总结和思考

总结一下打靶过程：

第一步：信息收集。主机发现和端口扫描，确定端口号基本上是80端口。然后进行漏洞扫描，没有扫出来有用的信息，最后就是目录扫描，扫出来一些有用的目录

第二步：web渗透。打开扫描的目录，提示只允许本地登录，所以用BurpSuite改包在请求头添加x-forwarded-for:localhost绕过本地登录。登录之后发现网址url中存在user_id,然后尝试用传参1，2，3...发现有不同的用户，然后这时候就用BP中intruder进行爆破，然后经过操作，得到了登陆的用户名和密码，最后用弱口令检查工具探测出alice的账号和密码，尝试撞库登录ssh，成功！

第三步：提权。登录alice账户之后查看所有文件，发现了第一个flag。然后sudo -l枚举sudo权限的二进制可执行文件，发现有php，直接用php执行系统命令启动shell即可提权。进入root，直接查找到了第二个flag。

本人纯小白，有什么问题还请各位大神指出