前言:
作为一个小白,从vulnhub上下载一些靶机,学习渗透测试,将知识记录在博客中,知识仅供学习。靶机是me and my girl friend 1,下载链接:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/。该靶机难度为beginner,所以比较简单。
正文:
目标机:192.168.1.17
Kali:192.168.1.4
信息收集:
Nmap -A -p 1-65535 192.168.1.17
漏洞挖掘:
只开了80端口和22端口,那就从web入手,访问80,查看页面源码,nikto扫描,dirb或者dirbuster爆破目录。
有了这条提示,我们就可以打开bp,拦截发送包,查看一下http求情头。
发送到repeater,尝试添加“x-forwarded-for:127.0.0.1”,然后发送,最好添加在host下面,否则会卡住。
看到了一个?page=index,而正常请求头没有,可以尝试访问一下。发现没用。但是在修改过程中发现发了两个包,一个是请求192.168.1.17,另一个是192.168.1.17/?page=index,两个包都需要添加“x-forwarded-for:127.0.0.1”,这样我们就能看到页面了。
接下来很麻烦,必须 添加X-Forwarded-For。没有好的办法,就只能挂代理了。每个都点一下,注册了账号lxy,123456,登录后,发现url里出现了id,随意修改后可以随意更新用户,疑似存在sql注入,可以用sql注入测试一下。数据包如下:
添加X-Forwarded-For,保存包,使用sqlmap,sqlmap -r a.txt。测试了很多数据包,没有sql注入漏洞(图片略)。使用dirb爆破目录,发现一个robots.txt。
访问robots.txt文件,发现txt文件,访问一下。
好像没啥用。在config文件夹下发现了一个config.php,但是是白版面。访问misc文件夹,存在process.php,结果是白版面。接下来使用nikto扫描一下,内容与爆破目录相同(图略)。观察url,针对其url下手,page参数极易出现文件包含漏洞,所以进行文件包含漏洞挖掘,直接输入“../../../../../../../../etc/passwd”,没有结果。之后对其进行的绕过也没有结果(图略)。之前注册过一个账号,可以先登录。登录后进入profile,发现是一个修改密码的页面。
查看网页源码,发现密码居然是明文存在于url中。
观察其url,存在一个user_id参数,可以随机修改,当前是12,刷新页面,拦截数据包,添加X-Forwarded-For,将包发送到repeater,从1开始修改user_id,查看是否可以随意变换用户。
用户出现变更,并且出现密码,用该方法我们发现了以下用户,只有“:”表示该用户不存在。
根据人们用密码的方式,可能有的地方也用的这些密码。之前扫面端口的时候出现了ssh服务,可以每个用户都尝试一下。最终在alice用户ssh登录成功。
获取flag(说实话,这个flag是我进入root后,用find命令找出来的)。
提权:
查看id。
提权方式很多,在之前的目录爆破中出现了一个config.php文件,我们可以查看一下。
发现了连接数据库的密码。也许也是提权的密码呢,尝试一下。果然,提权成功。
获取flag。
