前言:
作爲一個小白,從vulnhub上下載一些靶機,學習滲透測試,將知識記錄在博客中,知識僅供學習。靶機是me and my girl friend 1,下載鏈接:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/。該靶機難度爲beginner,所以比較簡單。
正文:
目標機:192.168.1.17
Kali:192.168.1.4
信息收集:
Nmap -A -p 1-65535 192.168.1.17
漏洞挖掘:
只開了80端口和22端口,那就從web入手,訪問80,查看頁面源碼,nikto掃描,dirb或者dirbuster爆破目錄。
有了這條提示,我們就可以打開bp,攔截髮送包,查看一下http求情頭。
發送到repeater,嘗試添加“x-forwarded-for:127.0.0.1”,然後發送,最好添加在host下面,否則會卡住。
看到了一個?page=index,而正常請求頭沒有,可以嘗試訪問一下。發現沒用。但是在修改過程中發現發了兩個包,一個是請求192.168.1.17,另一個是192.168.1.17/?page=index,兩個包都需要添加“x-forwarded-for:127.0.0.1”,這樣我們就能看到頁面了。
接下來很麻煩,必須 添加X-Forwarded-For。沒有好的辦法,就只能掛代理了。每個都點一下,註冊了賬號lxy,123456,登錄後,發現url裏出現了id,隨意修改後可以隨意更新用戶,疑似存在sql注入,可以用sql注入測試一下。數據包如下:
添加X-Forwarded-For,保存包,使用sqlmap,sqlmap -r a.txt。測試了很多數據包,沒有sql注入漏洞(圖片略)。使用dirb爆破目錄,發現一個robots.txt。
訪問robots.txt文件,發現txt文件,訪問一下。
好像沒啥用。在config文件夾下發現了一個config.php,但是是白版面。訪問misc文件夾,存在process.php,結果是白版面。接下來使用nikto掃描一下,內容與爆破目錄相同(圖略)。觀察url,針對其url下手,page參數極易出現文件包含漏洞,所以進行文件包含漏洞挖掘,直接輸入“../../../../../../../../etc/passwd”,沒有結果。之後對其進行的繞過也沒有結果(圖略)。之前註冊過一個賬號,可以先登錄。登錄後進入profile,發現是一個修改密碼的頁面。
查看網頁源碼,發現密碼居然是明文存在於url中。
觀察其url,存在一個user_id參數,可以隨機修改,當前是12,刷新頁面,攔截數據包,添加X-Forwarded-For,將包發送到repeater,從1開始修改user_id,查看是否可以隨意變換用戶。
用戶出現變更,並且出現密碼,用該方法我們發現了以下用戶,只有“:”表示該用戶不存在。
根據人們用密碼的方式,可能有的地方也用的這些密碼。之前掃面端口的時候出現了ssh服務,可以每個用戶都嘗試一下。最終在alice用戶ssh登錄成功。
獲取flag(說實話,這個flag是我進入root後,用find命令找出來的)。
提權:
查看id。
提權方式很多,在之前的目錄爆破中出現了一個config.php文件,我們可以查看一下。
發現了連接數據庫的密碼。也許也是提權的密碼呢,嘗試一下。果然,提權成功。
獲取flag。
