Me and My Girlfriend 11:靶机实战与Web安全挑战

在本篇靶机系列测试教程《Me and My Girlfriend 11》中，学习者将探索一个Web应用环境，其中包含基础的漏洞检测和渗透技巧。该教程主要针对初学者，以"Beginner"难度设计，旨在通过实际操作帮助理解Web应用程序的枚举和权限提升（Privilege Escalation）概念。 首先，作者提到有两份flag文件，暗示了在渗透过程中可能需要寻找的关键信息或目标。教程背景设定在一个浪漫故事中，女主角Alice在CebanCorp工作，但她的态度变化可能隐藏着安全漏洞，这让主角Bob寻求帮助来揭示真相并获取公司内部访问。 在靶机测试部分，教程详细介绍了几个关键步骤： 1. **信息收集**：使用nmap工具进行系统扫描，通过参数`-p --A-O 192.168.0.172 -oA girlfriend1 -prots`获取目标机器的基本网络和服务信息。 2. **目录扫描**：利用Gobuster工具进行目录枚举，通过`gobuster dir -u http://192.168.0.172 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100`寻找可访问的目录，发现了一个名为`config.php`的文件。 3. **绕过本地访问限制**：在访问过程中遇到限制，通过添加`127.0.0.1`到请求头来避开这些限制，继续探索。 4. **平行越权漏洞**：教程揭示了注册和登录页面的存在，这可能是权限管理中的漏洞，注册用户后，可以进一步查看个人信息，如`http://192...`。 这些步骤引导学员逐步了解如何识别并利用常见的漏洞，如目录遍历和权限控制缺陷，来渗透到目标系统。在整个过程中，作者强调了交流的重要性，提供了QQ群、微信号和个人博客作为学习支持和问题解答平台。对于初学者来说，这是一个实战型的学习资源，有助于培养网络安全意识和基本的渗透技能。