VulnHub靶机-SkyTower

VulnHub靶机-SkyTower

下载地址:https://www.vulnhub.com/entry/skytower-1,96/
下载靶机后在VirtualBox下打开,网卡配置为桥接
任务:提权并获取flag

环境:
攻击机和靶机均在192.168.8.0段
攻击机:kali linux 192.168.8.108

文章目录


一、信息搜集

要想渗透靶机,首先得知道靶机的IP是什么,我们先用nmap探测存活主机。
命令:nmap -sP 192.168.8.0/24

VulnHub靶机-SkyTower

知道了靶机的IP是192.168.8.109后,继续用nmap扫描靶机开放的端口。
命令:nmap -A -p- 192.168.8.109
VulnHub靶机-SkyTower
探测出靶机开放了22、80、3128端口,其中22端口被过滤了,且3128端口是一个代理端口,猜测需要开启代理才能访问靶机的22端口。

先访问80端口。
VulnHub靶机-SkyTower
看到登录框,第一反应是sql注入,bp抓包放repeater里点发送。
VulnHub靶机-SkyTower
login failed,意料之中,在第一个admin后边加个单引号。
VulnHub靶机-SkyTower
sql报错中提示多了个单引号,在admin’后边再加一个注释符#
VulnHub靶机-SkyTower提示登录失败,也就是说这个位置是注入点,尝试万能payload破解密码
VulnHub靶机-SkyTower11#及后面的语句报错,继续尝试用order by爆破字段数。
VulnHub靶机-SkyTowerder以及后面语句报错,再结合上一个报错,猜测or被过滤了。使用||代替or继续尝试万能payload。

VulnHub靶机-SkyTower成功登进网页。并显示账号john的密码是hereisjohn。
VulnHub靶机-SkyTower由于之前所说的,猜测需要代理靶机的3128端口才能访问其22端口,这里使用proxytunnel设置代理服务器隧道,代理后指定访问的ip为127.0.0.1,端口为22,监听端口为8888。VulnHub靶机-SkyTower
VulnHub靶机-SkyTower
接着访问靶机的22端口。
VulnHub靶机-SkyTower可以看到已经登录成功,但是马上连接就被关闭了,并且提示Funds have been withdrawn。既然已经登录,那就直接执行命令试试。
VulnHub靶机-SkyTower
查看目录。
VulnHub靶机-SkyTower
查看.bashrc。
VulnHub靶机-SkyTower
可以看到ssh被关闭是因为.bashrc的配置,将这个文件删除后登录ssh。
VulnHub靶机-SkyTower
可以看到成功登录进去了。sudo -l 查看能不能sudo提权
VulnHub靶机-SkyTower
发现不行,进入/var/www下看到login.php。
VulnHub靶机-SkyTower
还记得在login.php这页面上进行过sql注入吗,php文件里会包含着数据库的用户名和密码,进去login.php查看。
VulnHub靶机-SkyTower可以看见root用户的密码也是root,且数据库是SkyTech,进入mysql查看。
VulnHub靶机-SkyTower三个用户的密码都被我们知晓了,先进第二个用户查看。
VulnHub靶机-SkyTower
又是这句话,重复之前步骤用ssh进入sara。
VulnHub靶机-SkyTower查看sudo -l
VulnHub靶机-SkyTower可以看到,sara用户允许使用sudo命令cat或ls /accounts目录下的任何文件。

二、提权

VulnHub靶机-SkyTower
这里找到accounts目录,使用sudo ls命令查看里面的内容。
VulnHub靶机-SkyTower
最后用sudo cat命令查看到flag.txt文件,并获取root的密码theskytower。
VulnHub靶机-SkyTower
提权成功,至此已完成该靶机。

上一篇:day9 vulnhub AI


下一篇:Vulnhub-靶机-Node: 1