Vulnhub靶机实战-Me-and-My-Girlfriend
声明
好好学习,天天向上
搭建
使用virtualbox打开,网络和我的PRESIDENTIAL一样,是要vmware和virtualbox互连
渗透
存活扫描,发现目标
arp-scan -l
端口扫描
nmap -T4 -A 192.168.239.6 -p 1-65535 -oN nmap.A
开启端口
发现开启80,22
访问80
http://192.168.239.6
Who are you? Hacker? Sorry This Site Can Only Be Accessed local!
F12查看源码,发现需要使用x-forwarded-for
使用BP,访问
http://192.168.239.6/?page=index
加入x-forwarded-for: 127.0.0.1头,再进行转发,下面是重放模式,重放模块可以,就在代理模块抓包,进行转发
但是要是用burp抓包的话每一次都得改头,很麻烦,浏览器是可以下载x-forwarded插件的,我chrome下了个x-forwarded-for插件,插件改好IP后,就直接能看到了
首先可以看到网站给出了Home Login Register About四个按钮
点击Login按钮 尝试输入弱口令无果后,点击Regiseter,注册一个吧
注册完之后进行登录,登录后,有三个按钮,Dashboard就是首页
Profile貌似是一个修改密码的,好像还不能点,那这个功能不就是查看用户名和密码啦?,而且这里好像是通过user_id查看的
扫描目录吧
扫出了一些
访问图中能访问的几个目录
config和misc都指向php文件,不过访问进去都是空白
http://192.168.239.6/config
http://192.168.239.6/misc
http://192.168.239.6/robots.txt
...
robots.txt提示让用
http://192.168.239.6/heyhoo.txt
访问后
Great! What you need now is reconn, attack and got the shell
那就是开始getshell了?
刚刚有登录,注册等等,试试能不能拿到web
突然想到了一点,刚刚有一个,查看用户名密码的功能
再跳回去,通过修改user_id,就能查看密码了,虽然是遮掩,F12可以把输入框属性修改为text
http://192.168.239.6/index.php?page=profile&user_id=1
除去自己注册的的用户外,当ID为1,2,3,4,5,9时有用户,所以可以分别收集一个用户名和密码字典
准备好用户名和密码字典后,就对ssh进行爆破吧
hydra -L ./user.dic -P ./pass.dic -t 6 ssh://192.168.239.6
有了字典就好爆破多了,爆破出了一组
alice
4lic3
ssh登录吧
ssh -p 22 alice@192.168.239.6
先翻一翻目录
把这小秘密还有什么历史目录都看一看
在小秘密里面发现flag
在notes中发现了心机婊的一句话
Woahhh! I like this company, I hope that here i get a better partner than bob ^_^, hopefully Bob doesn't know my notes
接下来,好不容易黑进来了,看看刚刚空白的那几个php
发现数据库信息
四个参数分别为,IP,用户名,密码,数据库名
su到root用第三个参数作为密码,成功提权
看了网上大神的思路,这里可以使用sudo提权
有php的root权限,直接使用php执行bash
sudo php -r "system('/bin/bash');"
总结
1.信息收集
端口发现80和22
通过80,使用x-forwarded-for头,就可以看到web后台
扫描80的目录,看到一些空白的php文件,虽然前端是空白,后面如果可以查看php内容,这些就是重点查看对象
2.web权限
进入后台,添加用户后可以通过user_id越权查看所有的用户信息,这样就能组成社工字典
3.shell权限
利用前面的社工字典,对22进行爆破,爆破除了ssh账号
4.权限维持
使用ssh进行连接登录,发现flag
5.提权
查找80端口扫描出的配置文件,发现数据库root和密码,直接登录
查看sudo,发现php命令可以临时具备root,通过sudo php进行权限提升拿到flag
Vulnhub靶机实战-Me-and-My-Girlfriend相关推荐
- 全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(七)IMF【包含了sql注入,文件上传,gif图片木马制作,缓冲区溢出漏洞sploit等诸多知识点的靶机,超多干货】
靶机地址:https://www.vulnhub.com/entry/imf-1,162/ 靶机难度:中级(CTF) 靶机发布日期:2016年10月30日 靶机描述:欢迎使用" IMF&qu ...
- Vulnhub靶机实战——DC-8
靶机DC-8下载地址: https://download.vulnhub.com/dc/DC-8.zip 环境:VMware 15虚拟机软件 DC-8靶机IP地址:192.168.220.156 Ka ...
- Vulnhub靶机实战——DC-5
靶机DC-5下载地址:https://download.vulnhub.com/dc/DC-5.zip 环境:VMware 15虚拟机软件 DC-5靶机IP地址:192.168.220.139 Kal ...
- Vulnhub靶机实战——Matrix2
Matrix2靶机下载地址: https://download.vulnhub.com/matrix/matrix2-Unknowndevice64.ova 环境: VMware 15虚拟机软件 Ma ...
- 挑战全网最详细靶机教程——vulnhub靶机实战 lampiao【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/lampiao-1,249/ 靶机难度:中等 工具:kalilinux: 一个灵活的脑子 : 一双手 目标:得到root权限&am ...
- 挑战全网最详细靶机教程——vulnhub靶机实战vulnhub Tr0ll: 1【适合刚接触的新人学习】
靶机地址:https://www.vulnhub.com/entry/tr0ll-1,100/ 靶机难度:简单 靶机发布日期:2014年8月14日 靶机描述:Tr0ll的灵感来自OSCP实验室中不断摇 ...
- Vulnhub靶机实战——Matrix3
下载地址: https://download.vulnhub.com/matrix/Machine_Matrix_v3.ova 环境: VMware 15虚拟机软件 Matrix3靶机IP地址:192 ...
- Vulnhub靶机实战——DC-3
靶机DC-3下载地址:https : //download.vulnhub.com/dc/DC-3.zip 靶机DC-3VMware下载地址:https : //download.vulnhub.co ...
- DC-5 vulnhub靶机实战
首先是使用virtualbox安装,这里不推荐vmware,会出很多问题. nmap扫一下子网,看靶机的ip地址: 发现ip是192.168.240.137,开放了80和111端口. 给了提示是个文件 ...
- Vulnhub靶机实战-Forensics
声明 好好学习,天天向上 搭建 vmware打开,网络和攻击机一样,桥接模式 渗透 存活扫描,发现目标 arp-scan -l 端口扫描 nmap -T4 -A 192.168.31.152 -p 1 ...
最新文章
- 人眼中亮斑的检测、定位和去除(2)
- 浅析网页meta标签中X-UA-Compatible属性的使用
- 如何判断一个字符串的编码类型?
- Canvas 渐变特效
- block传值 链接
- mysql master or master copy
- Kafka、RabbitMQ、RocketMQ等 消息中间件 介绍和对比
- python中文分词统计_python 实现中文分词统计
- fastjson取某个key_JAVA学习:怎么给函数取一个“合理”的名字
- linux 文件 跳板机_linux 跳板机得搭建
- REHL5 mail不能自动外发邮件
- easyui打开新的选项卡_easyUI多选项卡后台模板主题_easyUI Tabs选项卡_easyUI模板
- HackerRank做题
- javascript常用方法,解决浏览器中Backspace按键回退页面问题
- Junit5 单元测试框架的使用
- 计算机表格公开课,Word表格制作教案公开课
- 排列组合,字符串——Killer Names
- Altium Designer 错误: Component U1 LM833MM has unused sub-part (2).
- linux增加预读缓存区大小,Linux使用blockdev命令调整文件预读大小的方法
- 关于髋关节固定支具的介绍
热门文章
- appserv php.ini,appserv升级PHP版本,appserv如何升级PHP版本方法。
- 脉冲神经网络原理及应用,神经网络相关论文
- 站长在线零基础Python完全自学教程18:Python中的集合完全解读
- beam search解码原理(斯坦福 2014 论文解读)
- java swing暂停继续_如何在Java Swing应用程序中暂停/睡眠/等待?
- 华夏学院到新洲的大巴车发车时刻表及乘车地点更新
- 让社群活跃的6个小技巧
- Vue(八):IE报错 - strict 模式下不允许分配到只读属性
- php登陆飞信,php飞信接口实例应用代码
- 伏魔战记超级版帝国沦陷