Me And My Girlfriend靶机教程
工具
- kali2023
- Me And My Girlfriend靶机
网络配置
- 网络为nat模式
信息收集
扫描ip
先快速获取该网段下的所有IP
arp-scan 10.4.7.0/24
得到靶机ip后对其端口进行详细扫描nmap -p- 10.4.7.8
我们可以看到目标机开放着80和22端口
网站信息收集
既然开放着80端口那么该主机极大可能有着web服务我们去浏览器测试一下
不出我们所料该目标机果然开放着web服务但是上面说这个地址只对本地开放访问
正当我迷茫之际看到了源代码里的提示不知道怎么开源码的小伙伴别着急大汉叫教你
在网页按f12 在菜单栏中选择源代码就ok了
它上面提示我们可以使用x-forwarded-for进行访问
x-forwarded-for是什么意思呢大概的意思就是伪造ip地址,那我们一下就可以联想到brupsuite
因为brupsuite更改数据包的功能
这时就有思路了用brupsuite抓取数据包然后把访问地址改为本地地址127.0.0.1就可以了
接下来打开burpsuite
刷新网站
这样我们就抓到数据包了但是里面没有x-forwarded-for参数
那我们就给它加一个
然后发送数据包就是见证奇迹的时刻
返回浏览器返现就可以进入网站了
但是每次跳转网页都要修改数据包比较麻烦那我们就设置一下让数据包每次自己修改吧
点击
Proxy下面的Options
往下滑找到Match and Replace这个模块在里面添加一个x-forwarded-for:127.0.0.1就可以了
我们把burpsuite的拦截关闭这样就不用每次点了
返回网页收集信息
进入网页后发现有登录窗口尝试弱口令登录
发现登陆不上
这里有个注册我们尝试注册有个账号
我们用刚注册的账号进行登录
发现登陆上了查找半天并没有上面线索尝试点击Profile这好像是一个修改密码的界面
这是我们刚刚注册的账号密码除了这个也没有什么线索了但是看到url里的id=就想到了SQL注入
我们尝试更改一下数值将这个12改为1
发现出来了账号但是看不见密码
在源代码里看看
发现在这里密码明文
在查看id=2
又有一个新的账号密码直到第6个就没有了
我们对其进行信息收集把账号密码都记下里
我们获得了这么多账号密码那么尝试进行一下ssh密码破解
我这里用的是hydra
hydra -L account.txt -P password ssh://10.4.7.8 -vV -f
-L 是指定用户名字典 -P是指定密码字典 ssh是表示ssh爆破 -vV 是显示过程 -f 爆破到正确密码停止
然后爆破到了一组正确的账号密码
我们进行ssh远程登录
提权
登录成功了我们看一下sudo -l查看一下我们能以root身份执行上面命令
我们可以看到在任何地方都可以用这个root身份执行php 那我们直接php提权
sudo /usr/bin/php -r "system('/bin/sh');"
记住要加sudo和php的那个绝对路径
直接拿下