VulnHub—Me and My Girlfriend: 1

最新推荐文章于 2025-02-08 13:04:39 发布
原创 最新推荐文章于 2025-02-08 13:04:39 发布 · 742 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了在VulnHub上进行的一次入门级安全挑战,涉及环境搭建、信息收集、Alice账户查询及权限提升。通过端口扫描发现靶机开放了22和80端口,通过Web源码解析获取Alice账户信息,成功注册并登录后找到flag1。尝试提权过程中,发现Alice用户可通过执行命令无需密码,利用此漏洞获取flag2。

01 环境搭建

  • 靶机环境下载:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/
  • 题目信息如下,难度入门级,需要获取俩个flag
Description: This VM tells us that there are a couple of lovers namely Alice and Bob, where the couple was originally very romantic, but since Alice worked at a private company, "Ceban Corp", something has changed from Alice's attitude towards Bob like something is "hidden", And Bob asks for your help to get what Alice is hiding and get full access to the company!

Difficulty Level: Beginner

Notes: there are 2 flag files

Learning: Web Application | Simple Privilege Escalation

02 信息收集

将靶机环境恢复到virtualbox之后,开始第一步信息收集工作。

发现靶机

查看攻击机Kali的ip为192.168.56.1(环境恢复时采用Host-Only Adapter)
在这里插入图片描述
使用nmap扫描网段内的ip地址</

最低0.47元/天 解锁文章
VulnHub--Me-and-My-Girlfriend-1
记录笔记
04-04 1440
背景 有两个恋人,即Alice和Bob,这对夫妻本来很浪漫,但是自从Alice在一家私人公司“Ceban Corp”工作以来,爱丽丝对鲍勃的态度发生了一些变化是“隐藏”的,而鲍勃(Bob)寻求您的帮助,以获取爱丽丝(Alice)隐藏的内容并获得对该公司的完全访问权限! 需求 Me-and-My-Girlfriend-1 虚拟机 Kali Linux 2021 复现 调一下kali 设置 root权限 这个是mygirlfrienf 的net 网段在192.168.227.0 Kali的网段也是在19
oscp—Me and My Girlfriend 1练习
王嘟嘟的博客
01-12 1453
0x00 前言 为oscp做准备的练习,Me and My Girlfriend 1。由于不知道怎么练习,就随便下载了一个进行练习在这里做一个笔记。 0x01 实验 下载好文件之后,配置为NET模式。 1.目标探测 探测这里使用了nmap进行探测,可以看到时间为10.4秒。 nmap -sP -T4 192.168.25.1/24 这里也可以使用masscan 进行扫描,可以明显感觉速度变快了...
Vulnhub靶机渗透之Me and My Girlfriend
realmels的博客
06-28 3172
本专栏是笔者的网络安全学习笔记,一面分享,同时作为笔记 前文链接 WAMP/DVWA/sqli-labs 搭建 burpsuite工具抓包及Intruder暴力破解的使用 目录扫描,请求重发,漏洞扫描等工具的使用 网站信息收集及nmap的下载使用 SQL注入(1)——了解成因和手工注入方法 SQL注入(2)——各种注入 SQL注入(3)——SQLMAP SQL注入(4)——实战SQL注入拿webshell 介绍 Vulnhub它是一个提供各种漏洞环境的平台,官方链接:https://www.vuln.
Me-and-My-Girlfriend-1
猎荒者
03-03 1560
天行健,君子以自强不息 地势坤,君子以厚德载物 环境准备 主机发现 端口扫描 目录爆破 漏洞挖掘 漏洞利用 总结 猪头 ...
vulnhubMe-and-My-Girlfriend-1
底层社会中的弱智
01-03 817
像之前的套路一样,nmap真香 找到了目标主机,IP为172.16.12.15 进行端口侦测: 22号端口是ssh服务(弱口令登录,爆破,一些攻击载荷) 80号端口中间件是apache的2.4.7(常规的网站漏洞扫面) 先打开网页看看: 注意提示信息很重要!意思就是让我们抓包改包,把x-forwarded-for这个参数的值改为本地(localhost) 启动bp来尝试: ...
VulnHub Me and My Girlfriend_ 1 靶场训练
最新发布
kouu_NUCC的博客
02-08 601
*Me and My Girlfriend: 1这个靶场还是蛮有意思的,信息整合和工具利用还是蛮讲究的,学会利用网络和AI解决问题也是很重要的。**
vulnhub靶机ME AND MY GIRLFRIEND: 1
weixin_52450702的博客
10-26 1148
靶机ip发现靶机端口扫描越权漏洞发现burpsuit自动匹配添加x-forwarded-for信息,进行id爆破hydra进行爆破ssh利用脚本扫描Linux,进行php sudo提权。
l​​​​​​​Me and My Girlfriend: 1 ~ VulnHub靶机
小小猪的博客
11-11 712
另外一种,可以查看是否存在账号密码,查询到数据库的账号密码,猜测是否也是root的账号密码。通过插件,或者burp进行抓包,添加X-Forwarded-For头部,可以访问到了。查看是否有suid的文件,然后进行提权 ,未发现可以利用的。可以看到,通过执行php语句,是root权限执行的。对不起,这个站点只能在本地访问!进行爆破,发现账户alice,密码4lic3。登录进去发现有个user_id参数。探测靶机IP地址,可以看到为135。进行ssh登录查找第一个flag。访问80端口,发现一句话。
vulnhub靶机Me and My Girlfriend : 1-Writeup渗透测试
Long_gone的博客
01-18 1013
一、信息收集 打开靶机后,先用netdiscover进行IP扫描: 确定靶机IP为192.168.1.106后,扫描它的端口开放情况: namp -sV -A -p 0-65535 192.168.1.106 发现靶机只开放了22和80端口,打开80端口看一下: 这段话的意思是:你是谁?黑客吗?对不起,本网站只能在本地访问! 然后试着先扫描一下目录: dirb http://192.168...
vulnhub】:Me-and-My-Girlfriend-1
一只爱吃橙子的羊
02-13 520
vulnhub】:Me-and-My-Girlfriend-1
靶场练习第一天~vulnhub靶场之Me-and-My-Girlfriend-1
qq_57976347的博客
01-26 4175
兄弟们第一天打vulnhub靶场,我kali连靶场ip都扫不到,泪奔了,不说了开整 注意: vm虚拟机里面的编辑下面的虚拟机网络编辑器,把除了NAT模式外的模式,其他模式不启动 一、靶场环境搭建 Me-and-My-Girlfriend-1的靶机网络模式设置为NAT 接着启动该靶场虚拟机 二、在Kali上面的操作 1.用nmap命令探测靶机的IP 用 nmap -sV -n -open -p- 192.168.100.128 扫出靶机详细信息 2.登录靶机的..
Vulnhub靶机之Me-and-My-Girlfriend-1
m0_52328368的博客
07-23 805
vulnhub靶场 Me-and-My-Girlfriend-1 详细操作过程
vulnhub-me-and-my-girl-friend-1
qq_41810304的博客
12-17 910
前言: 作为一个小白,从vulnhub上下载一些靶机,学习渗透测试,将知识记录在博客中,知识仅供学习。靶机是me and my girl friend 1,下载链接:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/。该靶机难度为beginner,所以比较简单。 正文: 目标机:192.168.1.17 Kali:192.16...
VulnHub系列』Me and My Girlfriend: 1-Walkthrough
ins1ght的博客
12-20 1964
这是我完成的VulnHub上的第29个靶机。难度:初级,靶机发布日期:2019年12月13日。标签:水平越权漏洞、sudo权限php提权。
Vulnhub-Me and My Girlfriend: 1-Writeup
Vicl1fe的博客
12-18 1076
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 靶机网址: https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ 靶机知识点: kali ip:192.168.34.80 靶机ip:192.168.34.152 信息收集 常规收集。 nmap -sV -p- 192.168.34.152 妥妥的...
VulnHub靶场-Me and My Girlfriend: 1
weixin_48972359的博客
04-16 1472
靶机:ME AND MY GIRLFRIEND: 1靶机需求:靶机里有2个flag,我们的目标就是找出这2个flag。
vulnhub靶场,Me-and-My-Girlfriend-1
kukudeshuo的博客
07-29 1157
vulnhub靶场,Me-and-My-Girlfriend-1 环境准备 靶机下载地址:https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ 攻击机:kali(192.168.109.128) 靶机:Me-and-My-Girlfriend-1192.168.109.145) 下载好靶机之后直接使用VMware Workstation Pro虚拟机导入环境,启动即可,将网段设置为NAT模式 信息收集 使用arp-scan确定目标靶机 确定
Me-and-My-girlfriend-1靶机实战-vuluhub系列(完结)
PANDA墨森的博客
07-11 964
这是vuluhub靶机实战系列完结篇了,本次主要知识点为:XFF头绕过限制,越权漏洞、sudo滥用提权之php命令 靶机下载地址: https://www.vulnhub.com/entry/me-and-my-girlfriend-1,409/ 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13234298.html #001环境搭建 攻击机kali:192.168.136.129 靶机Me-and-My-girlfriend-1192.168..
靶机渗透之Me-and-My-Girlfriend
weixin_64267091的博客
12-20 2162
总结一下打靶过程:第一步:信息收集。主机发现和端口扫描,确定端口号基本上是80端口。然后进行漏洞扫描,没有扫出来有用的信息,最后就是目录扫描,扫出来一些有用的目录第二步:web渗透。打开扫描的目录,提示只允许本地登录,所以用BurpSuite改包在请求头添加x-forwarded-for:localhost绕过本地登录。
Me and My Girlfriend 11:靶机实战与Web安全挑战
在本篇靶机系列测试教程《Me and My Girlfriend 11》中,学习者将探索一个Web应用环境,其中包含基础的漏洞检测和渗透技巧。该教程主要针对初学者,以"Beginner"难度设计,旨在通过实际操作帮助理解Web应用程序的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值