Vulnhub靶机渗透测试实战（二）：me-and-mygrilfriend

me-and-mygrilfriend下载地址：https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

本次靶场介绍如下：
这个VM告诉我们，有两个恋人，即Alice和Bob，这对夫妻本来很浪漫，但是自从Alice在一家私人公司“Ceban Corp”工作以来，爱丽丝对鲍勃的态度发生了一些变化是“隐藏”的，而鲍勃（Bob）寻求您的帮助，以获取爱丽丝（Alice）隐藏的内容并获得对该公司的完全访问权限！
难度等级：初学者
注意：有2个标志文件
学习：Web应用程序|简单特权升级

主机渗透系统：kali2019

一、首先，我们先来探测一下目标机器的IP

我就算是口算，就算是关机走人也不会用Nmap，真香。

开启了22、80端口，直接访问80端口，众所周知，80端口运行着HTTP服务，由此可见，这是一个网站。

这里提示我们，Who are you? Hacker? Sorry This Site Can Only Be Accessed local!（你是谁？黑客？非常抱歉，这个站点只能本地访问，）那么右键审查元素查看一下源码。

这里可看到注释有一段提示 Maybe you can search how to use x-forwarded-for（也许你可以搜索如何使用x-forwarded-for）那么我首先做的时候第一时间就想到是不是HTTP的XFF？

这里有两种做法：

1. Burp拦截包，然后自己再HTTP头加上XFF然后添加127.0.0.1
   

2. 使用firfox的X-ForWarded插件
   
   

直接注册一个账号吧（admin跑弱密码没用 ）点击register 注册一个账号是qbl 密码是123456的一个账号

注册进来后 点击Dashboard还有Profile都没啥结果

那么打开Nikto和Dirb扫描一个铭感文件铭感目录等信息（我使用的是Dirb）
首先查看Dirb给出的信息，可以看到有一个config目录状态码200，rebots.txt状态200，再可以看到misc目录也是200，Server-status状态码是403

访问config目录

config.php文件时空白的
查看Rebots.txt

发现有一个名为heyhoo.txt 进去查看

只提示了Great! What you need now is reconn, attack and got the shell（太棒了!你现在需要的是reconn，攻击和获得shell）
看来需要重新想别的办法了

在profile这里发现url里的user_id能修改，这是最典型的平行越权了吧

修改完看不到密码，按F12打开开发者模式

以此类推得到下面5个id

id=1
Eweuh Tandingan
eweuhtandingan
skuyatuh

id=2
Aing Maung
aingmaung
qwerty!!!

id=3
Sunda Tea
sundatea
indONEsia

id=4
Sedih Aing Mah
sedihaingmah
cedihhihihi

id=5
Alice Geulis
alice
4lic3

这个应该是ssh连接的账号和密码，根据靶场介绍我们应该要找一个叫做alice的用户

找到flag1，提示我们需要获得root权限

那接下来就提权吧
查看一下当前用户的sudo能使用那些命令

竟然能用root执行php命令。

提权成功

成功拿到flag2