vulnhub-SkyTower: 1

靶機(jī)地址：https://www.vulnhub.com/entry/skytower-1,96/

目標(biāo)：得到root權(quán)限&找到flag.txt

作者：尼德霍格007

時(shí)間：2021-7-31

一、信息收集

nmap掃描目標(biāo)IP地址

nmap -sP 192.168.21.0/24

掃描到四個(gè)地址，分別是：

192.168.21.2——網(wǎng)關(guān)地址

192.168.21.147——靶機(jī)IP地址

192.168.21.254——DHCP服務(wù)器地址

192.168.21.128——kali機(jī)IP地址

找到靶機(jī)的IP地址后，掃描開(kāi)放的端口

nmap -A -sP 192.168.21.147

可以看到開(kāi)放了22（需要代理）、80和一個(gè)3128代理端口

先訪問(wèn)一下web

是一個(gè)登錄界面

二、開(kāi)始滲透

看到?jīng)]有驗(yàn)證碼，試一下弱口令爆破，失敗

試試有沒(méi)有sql注入，

打開(kāi)burpsuite，試了一下，可以注入

得到一個(gè)賬戶名和密碼

Username: john
Password: hereisjohn

試試ssh登錄

前面nmap探測(cè)到ssh服務(wù)是需要代理的，先設(shè)置一下代理

使用proxytunnel設(shè)置代理服務(wù)器隧道（在本機(jī)的6666端口和靶機(jī)的3128端口建立隧道）

proxytunnel -p 192.168.21.147:3128 -d 127.0.0.1:22 -a 6666

三、獲取shell

ssh登錄

ssh john@127.0.0.1 -p 6666

登錄失敗，提示Funds have been withdrawn，意思是信息已被提取，可以理解為已經(jīng)登錄但是被踢出來(lái)了

沒(méi)有關(guān)系，我們?cè)囍卿浀耐瑫r(shí)執(zhí)行命令

ssh john@127.0.0.1 -p 6666 ls -la

可以正常執(zhí)行命令，看到有bashrc文件，猜想登錄上去被踢出來(lái)的原因就在這里，

查看一下

ssh john@127.0.0.1 -p 6666 cat .bashrc

可以確定就是這里的問(wèn)題，試試能不能修改它，給他改個(gè)名字

然后登錄

登錄成功

四、提權(quán)

但是有點(diǎn)小遺憾，沒(méi)能執(zhí)行sudo提權(quán)，繼續(xù)找找看

最終在/var/www/login.php中找到了數(shù)據(jù)庫(kù)的用戶名和密碼，登錄數(shù)據(jù)庫(kù)

查詢到三個(gè)用戶和密碼，因?yàn)槲覀兊卿浀膉ohn用戶沒(méi)有sudo權(quán)限，換其他用戶試試

登錄sara，一樣的提示，

用同樣的方法

成功登錄

發(fā)現(xiàn)可以使用sudo查看根目錄下的account的所有信息

這里可以使用相對(duì)路徑直接取root根目錄下的flag.txt

sudo cat /accounts/../root/flag.txt

得到root的密碼，直接登錄得到root權(quán)限

五、總結(jié)

這次漏洞復(fù)現(xiàn)沒(méi)有難點(diǎn)，主要考查ssh的運(yùn)用、SQL注入攻擊的理解、mysql的基礎(chǔ)知識(shí)！認(rèn)真復(fù)現(xiàn)一遍下來(lái)收獲滿滿，很不錯(cuò)的一臺(tái)靶機(jī)，大家也可以試試！

總結(jié)

以上是生活随笔為你收集整理的11-VulnHub-SkyTower 1的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。