Vulnhub靶场之Me-and-My-Girlfriend

先看一下描述：

一、靶机搭建

1. 靶机下载

下载地址：https://download.vulnhub.com/meandmygirlfriend/Me-and-My-Girlfriend-1.ova

2. 靶机导入

第一步：导入（打开虚拟机–>选择下载的靶机–>选择存储路径–>导入）

注：会报导入失败的错误，点击重试即可。

第二步：导入后，删除网卡并重新添加（NAT网卡）

第三步：启动虚拟机

二、信息收集

1. nmap扫描确定靶机ip

nmap -sS -Pn 192.168.159.0/24

继续扫描

获得靶机ip：192.168.159.173
开放端口：22、80等端口，是Apache服务器

2. web界面访问

发现拒绝访问，试着查看一下页面源代码

三、漏洞利用

根据以上信息收集模块，我们了解要用x-forwarded-for
使用firefox插件ModHeader，添加请求头X-Forwarded-For

然后刷新页面，发现可以成功访问


我们发现，有登录既然来到这里了，那我们就扫一下目录试试
dirb http://192.168.159.173

格式：dirb [] [options]

-a 设置user-agent
-p 设置代理
-c 设置cookie
-z 添加毫秒延迟，避免洪水攻击
-o 输出结果
-X 在每个字典的后面添加一个后缀
-H 添加请求头
-i 不区分大小写搜索

扫出/config和/misc两个目录，我们试着访问一下这两个目录


打开config.php和process.php，发现是一片空白

有个robots.txt，访问下看看

发现下面有个heyhoo.txt，哇，有惊喜，打开看看

是我胡思乱想了，还是老老实实拿shell吧，我们回到登录页面
在这里一顿乱试，输了个username：admin，password：123，居然成功登录进去

我们发现里面有个profile文件，点一下试试，跳转到我登录的页面，好了，开整！！！

眼睛亮的童志们想必发现了，在登录后的url的参数user_id=14，而不是1，那么之前的那些用户名中是不是藏有管理员的登陆密码呢？

修改url的参数为1：

突然发现框中值都变了，那么我们依次输入值，那么数字那么多，最大应该是多少呢？
最大的数值是14，因为我们登录账号后，我们的ID是14
想看到password的值也非常简单，右键点击检查，from表单中input value的值即为密码，或者把type=\"password\"为type=“text”


依次类推
将这些密码遍历出来，先放到记事本中。当然这里可以写脚本，本人小白一个，不是很会写，会的大佬可以试一试

id=1
Eweuh Tandingan
eweuhtandingan
skuyatuh

id=2
Aing Maung
aingmaung
aingmaung

id=3
Sunda Tea
sundatea
indONEsia

id=4
Sedih Aing Mah
sedihaingmah
cedihhihihi

id=5
Alice Geulis
alice
4lic3

id=6，7，8
我尝试的
  
id=9
Abdi Kasep
abdikasepak
dorrrrr
id=10，11，12，13  我尝试的，不对
  
id=14
zzz
admin
123
登进去了

那么既然账号密码有了，就尝试呗，还犹豫什么。
因为下载靶机的时候，有一个靶机背景description，所以我们首先尝试 用户名：alice，密码：4lic3
居然成功了

查看一下目录文件

发现一个小秘密，查看一下

得到第一个flag，并且有一段提示，翻译一下，意思是第二个flag必须要提权了

格雷特，我哥哥！你看到爱丽丝的便条了！现在保存记录信息给bob！我知道如果给了他，鲍勃会受伤的，但这总比鲍勃被骗好！ 现在您的最后一个任务是访问根目录并读取flag^_^

再查看一下my_notes.txt
哇哦！我喜欢这家公司，我希望这里有一个比鲍勃更好的合作伙伴，希望鲍勃不知道我的笔记

没啥用，那就整root吧

四、提权

因为是apache服务器，看一下网站的配置文件/var/www/html

得到数据库账号密码，尝试提权

拿到第二个flag，over！！！