感觉ctf打太多了,pentest经验太少了,从Vulnhub上找个靶机玩玩,说起来这个靶机很久之前我还玩儿过,大一SRE寒假考核里那个pentest就是拿这个改的。
Me-and-My-Girlfriend:下载链接
前期准备
下载到了那个ova文件打开方式用vmware打开
命名,选择路径
选了导入之后有弹窗,选择不再显示此消息然后重试,别管他,等他继续导入
导入后把连接方式换成net,然后等他加载,然后虚拟机就能正常进入了
这里我们当然是没有账号和密码的,所以没法登录,因为我们是黑客,我们要没密码把它渗透进去!
扫ip
我的kali和这个靶机都在内网里,可以用下面这个命令直接列ip,就不用namp扫了
sudo arp-scan -l
172.16.0.254是我vmware里另一个虚拟机(好像是那个给新生上课用的ubuntu),剩下的这个172.16.0.134就是靶机的ip,接下来就是展现黑客手段,靠一个ip把服务器给扬了!
先扫一下端口看有哪些服务:
nmap 172.16.0.134 #实战别这样嗯扫,很容易被溯源
可以看到有两个端口开了,一个是80,开web服务的,另一个是22,用来ssh远程连接的,所以这个靶机的攻击路径就很明显了,通过这个web服务渗透拿到足够多的敏感数据,然后用ssh远程连进去,开整。
开始冻手
先拿御剑扫一下,看有什么东西
robots.txt?进去看看有啥东西。
太棒了!你现在需要的是侦察、攻击和获取权限,看世界杯去了,明日再战!
先回到主页研究研究这几个东西有啥功能
点了home没啥反应,应该就是主页,点了about会出来一句话:
为什么是我们?
因为我们的努力,许多伟大的人!他们在各自领域拥有专业知识,这可能是一个在做生意或其他事情方面取得成功的机会!
似乎没啥用。
点了注册键有个注册功能,注册个账号试试,然后去登录
又多了三个功能,试试前两个,先试试profile
密码被遮挡了,按键是灰的,但打过ctf懂一点前端的都知道怎么处理
点了下Change没啥反应,看看那个Dashboard,好吧点了一下就回主页了,找找攻击点。
首先这里有个很值得注意的地方,这里的url是user_id=12,可能会有水平越权或者sql注入之类的洞,而且还能配合前面那个看密码获取其他用户的账号密码,试试
先改成1,果然有用
看看密码
点点Dashboard,还是回到主页了,这个功能干啥用的。接下就继续试试水平越权拿些数据吧
id | Name | Username | Password |
1 | Eweuh Tandingan | eweuhtandingan | skuyatuh |
2 | Aing Maung | aingmaung | qwerty!!! |
3 | Sunda Tea | sundatea | indONEsia |
4 | Sedih Aing Mah | sedihaingmah | cedihhihihi |
5 | Alice Geulis | alice | 4lic3 |
所有数据就这些了,再试试sql注入吧,注了半天没注出来,看了下其他人的wp,好像这个题没考sql,看来当年是学长改编的,直接拿这些密码去ssh登录吧。
账号alice,密码4lic3,成功用xshell ssh进去了
下一步是进入root然后阅读flag,看来要我们提权。
sudo -l
查看当前用户可执行的指令
看来提示非常明显了,用php
sudo php -r "system('/bin/sh');"
来点奇淫技巧
直接解压
直接解压ova,解压出来一个vmdk
再继续解压这个vmdk,数据就出来了
但因为这东西毕竟不是真正的压缩包,解压到一半就停了,数据有损耗,flag能不能保留就看天了
保留了一个。继续翻找其他东西没找到shadow,我记得我当年做的时候是有shadow的,如果能解密出来就直接拿密码了。
拯救者模式重置密码
ubuntu有个拯救者模拟能直接重置root密码
选择我们的虚拟机,点击开启虚拟机之后立刻再点击一下屏幕重定向至虚拟机然后按一下Esc键,注意一定要在配置加载之前就按Esc,这样才能进入像是windows bios界面一样的界面(如果失败了就重启多试几次):
用上下键选择Advanced options然后回车进入
接下来选择第二个那个recovery模式然后点”e”键(注意,不要回车!),也就是拯救者模式
进入如下页面
将这里的“ro recovery nomodeset”替换为“ro quiet splash rw init=/bin/bash”
然后按Ctrl-X重启系统,然后我们就能进入命令行模式了,并且我们现在是root权限:
然后我们用passwd root就能重置密码了
现在我们回虚拟机就能直接用root账号和你设置的密码直接登录进去了,接下来就可以为所欲为了,当然,如果只是想get flag的话,用这个命令行模式就能拿到了,毕竟我们是root权限
当然啦,直接登录也可以
🐀🐀我呀,当年没渗透进去就是用这两个奇淫技巧做出来当年的pentest的