Vulnhub-SKYTOWER

靶场
字数统计: 826   |   阅读时长≈ 3 分钟

信息收集

使用nmap扫描主机进行信息收集

nmap 192.168.206.151 -p- -A -SV

Starting Nmap 7.92 ( https://nmap.org ) at 2024-03-02 14:11 CST
Stats: 0:00:05 elapsed; 0 hosts completed (1 up), 1 undergoing SYN Stealth Scan
SYN Stealth Scan Timing: About 7.96% done; ETC: 14:12 (0:00:23 remaining)
Nmap scan report for 192.168.206.151
Host is up (0.00070s latency).
Not shown: 65532 closed tcp ports (reset)
PORT     STATE    SERVICE    VERSION
22/tcp   filtered ssh
80/tcp   open     http       Apache httpd 2.2.22 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.2.22 (Debian)
3128/tcp open     http-proxy Squid http proxy 3.1.20
|_http-title: ERROR: The requested URL could not be retrieved
|_http-server-header: squid/3.1.20
MAC Address: 00:0C:29:82:E8:ED (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.2 - 3.10, Linux 3.2 - 3.16
Network Distance: 1 hop

TRACEROUTE
HOP RTT     ADDRESS
1   0.70 ms 192.168.206.151

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 40.61 seconds

信息整理:
开放端口:22(ssh) 80(http) 3128(代理端口)

web页面

访问80端口进行目录扫描发现三个文件
123
主页面是一个登录窗口
213
尝试进行弱口令登录无果,测试SQL注入。
发现存在sql注入
123
多次测试后发现可以成功登录
456
给出了账号密码john/hereisjohn
45
使用该账号密码登录网页不行,ssh也无反应,想起收集信息时发现3128端口开启了代理,那么使用代理工具proxytunnel进行访问。

proxytunnel

proxytunnel是一款利用http connection封装技术建立隧道的工具。
适用条件
防火墙禁止DNS和ICMP隧道,只允许代理服务器上网的情景。

proxytunnel常用命令
-a 指定本地侦听端口

-p 使用代理

-r 使用第二个代理

-d 指定访问的目标和端口
kali自带该工具

proxytunnel -p 192.168.206.151:3128 -d 127.0.0.1:22 -a 6666

123

连接ssh

开启建立后打开另一个终端进行ssh连接,发现连接上之后就会立即断开
456

涉及到了.bashrc文件,在加载shell的时候由于.bashrc文件的配置,bash 在每次启动时都会加载 .bashrc 文件的内容。每个用户的 home 目录都有这个 shell 脚本。它用来存储并加载你的终端配置和环境变量。
有可能.bashrc文件写有关闭shell的内容,这里有两个方法:
第一:删除.bashrc文件(有风险)
第二:使用-t 来开启一个终端

ssh john@127.0.0.1 -p 6666 -t “/bin//sh”

使用第二种
连接完成之后对靶机进行信息收集,找到login.php中存在数据库账号密码
456
连接数据库后发现另外两个用户,查看/home下确实存在。
123

sara可以连接,william不可以。连接后发现sara用户存在一定的root权限
789
查看root目录下的flag.txt文件发现有root密码
456
连接ssh,拿到flag。
456

总结

以SQL注入为入口找到账号密码,搭建代理隧道后连接ssh,在login.php文件下发现数据库账号密码。通过数据库查到其他用户的账号密码,发现sara用户存在root权限,在root下发现root密码,然后连接ssh拿到root下的flag。

打赏
  • 版权声明: 本博客所有文章除特别声明外,著作权归作者所有。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

请我喝杯咖啡吧~

支付宝
微信