第三步数据库手工枚举

本篇博客在自己的理解之上根据大佬红队笔记的视频进行打靶详述了打靶的每一步思路并非复现writeup读者耐心看完定会有所收获。

Me

and

Girlfriend这个靶机是近期遇到的最简单的一太靶机步骤较少读者可直接盲打试试。

涉及到的知识点包括x-forwarded-for主机头转发、

手工爆库、sudo

手工爆库、超帅php提权、打一遍这靶机、帅到自己都不知道自己是谁whoami呼啊咪_哔哩哔哩_bilibili

and

https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova

本靶机的目标是拿到两个flag即可即flag1.txt和flag2.txt这个靶机还涉及了一点剧情靶机描述如下

Description

大意有一对cpAlice和Bob原本很浪漫相爱但自从Alice在一家私企Ceban

Corp工作之后Alice对Bob的态度就变了。

Bob请求你黑了这个公司的服务器解开Alice的心结。

靶机下载成功后用vmware打开将网络链接设置为NAT模式。

靶机启动之后如下

第一步主机发现和端口扫描

我的kali机器所在网段是10.10.10.0主机发现靶机是10.10.10.152开放端口是22和80信息如下

第二步Web渗透修改XFF代理

X-Forwarded-ForXFF是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段换句话就是无论你用了多少层代理XFF头都能给你显示出每层代理和原始ip如果没有XFF或者另外一种相似的技术所有通过代理服务器的连接只会显示代理服务器的IP地址而非连接发起的原始IP地址这样的代理服务器实际上充当了匿名服务提供者的角色如果连接的原始IP地址不可得恶意访问的检测与预防的难度将大大增加。

那么我们就添加一个XFF头部内容写localhost表示本地也就是在每个请求中添加如下一行

用burpsuit拦截请求然后改包添加x-forwarded-for:localhost即可访问

如下图添加XFF头部为本地后可以访问站点10.10.10.152了

但如果每次请求页面都要手动添加x-forwarded-for:localhost还是挺麻烦的一件事。

因此可以在BurpSuite代理proxy模块中的Options选项的Match

and

点击Add将请求头中增加x-forwarded-for:localhost即可这样每次请求时都会添加这一行就无需每次请求都手动添加了。

第三步数据库手工枚举

Corp正是靶机描述中Alice的公司名称。

这个界面其实没太多信息Login是登录界面需要有账号和密码。

我这里注册的账号和密码都是aaa注册完成之后Login登录成功

注意url中有一个user_id12这估计是一个查询我们尝试能不能直接修改这个user_id实现对其他用户账号密码的查看

user_id改为1后成功看到了其他账号那我们手工更换user_id为1到11看看有哪些凭据重点看有没有账号为alice靶机描述的提示果然找到了当user_id5时是Alice的凭据

我们尝试用ssh登录如果数据库密码和ssh密码一致的话我们就能够成功ssh如下图撞库成功了

第四步sudo

在.my_secret下还有一个my_secret.txt看看是啥

看来Alice准备在公司找对象搞外遇了Bob真惨。

不过这和我们打靶没啥关系我们要想办法提权首先先sudo

好家伙有php的sudo权限凡是sudo权限有语言的都可以用这个语言构造反弹shell或启动shell的操作这里咱也不用反弹shell直接用php执行系统命令启动shell好了命令如下

sudo

这个靶机相对于前几个靶机算是很简单的涉及的知识点就是XFF头转发的原理与使用、手工爆库、sudo

php提权。

不过这个靶机体现了渗透中很明确的攻击链也助于初学者了解常规渗透思路。

还是总结一下打靶过程

第二步Web渗透直接浏览器访问靶机无法显示内容提示我们修改XFF头部本地访问于是用BurpSuite改包在请求头添加x-forwarded-for:localhost即可访问。

第三步数据库手工枚举注册账号登录后发现url中存在user_id怀疑这里是否是数据库直接查询的传参直接秀嘎user_id发现可以找到alice的账号和密码尝试撞库登录ssh成功。

第四步sudo

-l枚举sudo权限的二进制可执行文件发现有php直接用php执行系统命令启动shell即可提权。

希望读者能够点赞关注多多支持学渗透还是要实操呀。

如果读者有什么打靶的问题也欢迎评论区留言指出我一定知无不言