Vulnhub靶场之Me-and-My-Girlfriend

先看一下描述:
Vulnhub靶场之Me-and-My-Girlfriend_第1张图片

一、靶机搭建

1. 靶机下载

下载地址:https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova

2. 靶机导入

第一步:导入(打开虚拟机–>选择下载的靶机–>选择存储路径–>导入)

注:会报导入失败的错误,点击重试即可。
Vulnhub靶场之Me-and-My-Girlfriend_第2张图片

第二步:导入后,删除网卡并重新添加(NAT网卡)

Vulnhub靶场之Me-and-My-Girlfriend_第3张图片

第三步:启动虚拟机

二、信息收集

1. nmap扫描确定靶机ip

nmap -sS -Pn 192.168.159.0/24
Vulnhub靶场之Me-and-My-Girlfriend_第4张图片
继续扫描
Vulnhub靶场之Me-and-My-Girlfriend_第5张图片Vulnhub靶场之Me-and-My-Girlfriend_第6张图片
获得靶机ip:192.168.159.173
开放端口:22、80等端口,是Apache服务器

2. web界面访问

Vulnhub靶场之Me-and-My-Girlfriend_第7张图片
发现拒绝访问,试着查看一下页面源代码
Vulnhub靶场之Me-and-My-Girlfriend_第8张图片

三、漏洞利用

根据以上信息收集模块,我们了解要用x-forwarded-for
使用firefox插件ModHeader,添加请求头X-Forwarded-For
Vulnhub靶场之Me-and-My-Girlfriend_第9张图片
然后刷新页面,发现可以成功访问
Vulnhub靶场之Me-and-My-Girlfriend_第10张图片
Vulnhub靶场之Me-and-My-Girlfriend_第11张图片
我们发现,有登录既然来到这里了,那我们就扫一下目录试试
dirb http://192.168.159.173

格式:dirb [] [options]

-a 设置user-agent
-p 设置代理
-c 设置cookie
-z 添加毫秒延迟,避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索

Vulnhub靶场之Me-and-My-Girlfriend_第12张图片
扫出/config和/misc两个目录,我们试着访问一下这两个目录
Vulnhub靶场之Me-and-My-Girlfriend_第13张图片
Vulnhub靶场之Me-and-My-Girlfriend_第14张图片
打开config.php和process.php,发现是一片空白

有个robots.txt,访问下看看
Vulnhub靶场之Me-and-My-Girlfriend_第15张图片
发现下面有个heyhoo.txt,哇,有惊喜,打开看看
Vulnhub靶场之Me-and-My-Girlfriend_第16张图片
是我胡思乱想了,还是老老实实拿shell吧,我们回到登录页面
在这里一顿乱试,输了个username:admin,password:123,居然成功登录进去
Vulnhub靶场之Me-and-My-Girlfriend_第17张图片
我们发现里面有个profile文件,点一下试试,跳转到我登录的页面,好了,开整!!!
Vulnhub靶场之Me-and-My-Girlfriend_第18张图片
眼睛亮的童志们想必发现了,在登录后的url的参数user_id=14,而不是1,那么之前的那些用户名中是不是藏有管理员的登陆密码呢?

修改url的参数为1:
Vulnhub靶场之Me-and-My-Girlfriend_第19张图片
突然发现框中值都变了,那么我们依次输入值,那么数字那么多,最大应该是多少呢?
最大的数值是14,因为我们登录账号后,我们的ID是14
想看到password的值也非常简单,右键点击检查,from表单中input value的值即为密码,或者把type="password"为type=“text”
Vulnhub靶场之Me-and-My-Girlfriend_第20张图片
Vulnhub靶场之Me-and-My-Girlfriend_第21张图片
依次类推
将这些密码遍历出来,先放到记事本中。当然这里可以写脚本,本人小白一个,不是很会写,会的大佬可以试一试

id=1
Eweuh Tandingan
eweuhtandingan
skuyatuh

id=2
Aing Maung
aingmaung
aingmaung

id=3
Sunda Tea
sundatea
indONEsia

id=4
Sedih Aing Mah
sedihaingmah
cedihhihihi

id=5
Alice Geulis
alice
4lic3

id=6,7,8
我尝试的
  
id=9
Abdi Kasep
abdikasepak
dorrrrr
id=10,11,12,13  我尝试的,不对
  
id=14
zzz
admin
123
登进去了

那么既然账号密码有了,就尝试呗,还犹豫什么。
因为下载靶机的时候,有一个靶机背景description,所以我们首先尝试 用户名:alice,密码:4lic3
居然成功了

查看一下目录文件
Vulnhub靶场之Me-and-My-Girlfriend_第22张图片
发现一个小秘密,查看一下
Vulnhub靶场之Me-and-My-Girlfriend_第23张图片
得到第一个flag,并且有一段提示,翻译一下,意思是第二个flag必须要提权了

格雷特,我哥哥!你看到爱丽丝的便条了!现在保存记录信息给bob!我知道如果给了他,鲍勃会受伤的,但这总比鲍勃被骗好! 现在您的最后一个任务是访问根目录并读取flag^_^

再查看一下my_notes.txt
在这里插入图片描述哇哦!我喜欢这家公司,我希望这里有一个比鲍勃更好的合作伙伴,希望鲍勃不知道我的笔记

没啥用,那就整root吧

四、提权

因为是apache服务器,看一下网站的配置文件/var/www/html
Vulnhub靶场之Me-and-My-Girlfriend_第24张图片
得到数据库账号密码,尝试提权
Vulnhub靶场之Me-and-My-Girlfriend_第25张图片
拿到第二个flag,over!!!

你可能感兴趣的:(VulnHub靶场复现,安全)