以下演示均在测试环境进行,遵纪守法,共建网络安全
靶场下载地址:SkyTower: 1 ~ VulnHub
是一个VBOX的虚拟机文件,用vbox打开或者用如下命令转换为vm文件
VBoxManage.exe clonehd (绝对路径\SkyTower.vdi) (绝对路径输出+输出文件名称.vmdk) --format VMDK
vmware-vdiskmanager.exe -r "(绝对路径输出+输出文件名称.vmdk)" -t 0 "(绝对路径输出+输出文件名称\SkyTower.com.vmdk)"
以上两条命令只需替换括号内容,包括括号
VBoxManage.exe和vmware-vdiskmanager.exe 均在各自安装目录下找到
转换完之后,直接利用新建虚拟机方式,在最后选择虚拟磁盘文件时,选择转换后的文件
参考这篇文字的前半部分 vulnhub-KIOPTRIX: LEVEL 1.3 (#4)-KioptrixVM4靶场_shulao2010的博客-CSDN博客
设置好后网卡选nat模式,开机
#信息收集
首先我ip时65网段
nmap -sP 192.168.65.0/24
130比较可疑,129是我kali本机
128也有用处
对130进行详细信息扫描
发现22、80、3128 三个端口
首先尝试访问80端口,看是否有可利用价值
类似一个后台管理系统,查看源码没有发现有用提示
尝试目录扫描,除index之外就是这个登录页面,没有 发现有用信息
好吧 3128 通过扫描信息看出来是一个代理服务
目前可利用的信息只剩下登录框
首先尝试弱密码
无果,尝试sql注入看看
对单引号有反应,首先尝试万能密码
看来等号是没了,不过可以用 > < <> 代替
用大于号试了一下,仍提示错误,由于用户名字段并不能全部显示我们传进去的全部数据,我们将用户名输入数据同样也输入到密码框处
我们看到 or 同样被过滤
我们尝试用|| 替换试一下
成功登录成功,但是好像没进系统,用我满级英语水平翻译了一下,大概是,你已经被公司停职了,没啥用了,给你2美元*7=14块人民币,玩去吧,但是你想得到这2块钱,还得ssh登录,要不2块钱都拿不到
不得不说,2美元不如不给,侮辱性极强
那咋整,蚊子也是肉,我们直接利用用户名密码尝试ssh登录
ssh进行连接时,超时,仔细一看nmap扫描结果,大爷的,是过滤状态,说明端口没有明确信息表明是开启还是关闭,但是没有关闭,说明有戏,但是无法访问
此时只剩下3128端口,这个是一个代理服务,那么很有可能,22端口,需要经3128服务代理之后才能访问
使用代理工具 proxychains尝试进行代理
首先配置proxychains 的代理配置
vi /etc/proxychains4.conf
按上图修改
http 目标靶机ip 3128
将http流量代理到目标主机 3128端口
保存之后,尝试使用代理登录目标主机
proxychains ssh john@192.168.65.130
成功连接的同时被注销了会话
可以直接在连接命令后面跟 要执行的命令,可以在登录之后瞬间执行
但是过于麻烦,尝试运行 一下 bash
运行成功,这样就不会被断开连接了
看了一下目录下文件bashrc 退出有可能是这个搞的鬼
直接删除,之后重新登进去
删了zhiho-u重新进来就好了,不会被踢出
#提权
看一下sudo提权可不可以
没有
那就尝试翻文件
var/www/login.php直接里面有mysql账密
试了一下,mysql账户密码和系统root不是同一个密码
然后登录mysql控制台,翻一下库数据
mysql -u root -p
暴漏的连接信息内指明了库名
可以直接看这个库里面有哪些信息
use SkyTech
show tables
发现只有一个表
select * from login
发现三个账户和密码
尝试另外两个,看一下有没有可以直接用的提权命令
登录时还是需要 删除 .bashrc这个文件,不然会被直接断开ssh
登录后,我们发现sara这个账户下有sudo提权命令
经过尝试,最后使用红框命令查看到了root下flag
得到了password ,尝试登录
登录成功,最后成功得到root权限
最后:
对用户输入输出一定要做过滤
对处于特殊时期员工一定要完全禁用其账户,最好采用IAM来进行身份和状态管理,由专人负责处理后续交接等问题
定期代码审计,对硬编码设置治疗红线,一律禁止
449
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
