【SkyTower靶场渗透】

文章目录

一、基础信息

二、信息收集

三、漏洞探测

四、ssh登录

五、提权


一、基础信息

Kali IP:192.168.20.146

靶机IP:192.168.20.149

二、信息收集

端口扫描

nmap -sS -sV -p- -A 192.168.20.149

开放了22、80、3128等端口

80:apache httpd 2.2.22

3128:squid 3.1.20

访问一下80页面,后台php语言,版本5.4.4

目录扫描

80页面目录扫描没有发现

3128端口扫描也没发现

三、漏洞探测

只能先从80登录页面入手,直接抓包sqlmap梭哈,发现注入不出

尝试手工测试,发现有很多过滤,过滤了or,=,group,union,select,and,逗号等等,email与password参数均为单引号闭合

还是先尝试万能密码,or与and过滤可以用&&或者||绕过,=过滤可以用like

Payload=' || 'a' like 'a

得到了邮箱信息,以及账户密码:john/hereisjohn

参考其他wp,也可以用常用注入语句进行测试。

https://github.com/melbinkm/SQL-Injection-Payloads/blob/master/sqli_auth.list

intruder进行sql注入爆破,选择email和password参数,攻击类型设置:pitchfork

同样注入成功,但是有点不太理解为什么会成功。

四、ssh登录

现在有了账号密码信息,尝试ssh登录但是没有成功,端口状态为filtered

尝试从3128端口寻找突破口,页面提示信息squid 3.1.20

查了一下,Squid是一套代理服务器和Web缓存服务器软件,提供缓存万维网、过滤流量、代理上网等功能。

查到两个漏洞信息,一个缓冲区溢出,一个拒绝服务攻击,尝试了一下没有结果

想到squid提供的代理服务,尝试设置代理访问

proxychains使用参考https://zhuanlan.zhihu.com/p/166375631

vim /etc/proxychains4.conf

http 192.168.20.149 3128

通过代理,连接ssh

proxychains ssh john@192.168.20.149 -t "/bin/sh"

五、提权

Sudo提权:提示没有

Suid位提权:没有发现

到辅助网站查询命令:https://gtfobins.github.io/

内核提权:Uname -a;cat /etc/*release

版本漏洞搜索后没有利用成功,继续尝试其他方式

计划任务:没有发现

查看定时任务

find /etc/*cron* -type f -ls 2>/dev/null

查看定时任务内容

find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txt

grep '\*' /tmp/cron.txt

/var/spool/cron下没有查看权限

似乎当前账号没找到好的提权方式,继续做一下信息收集

在网站根目录/var/www下的login.php文件中发现数据库账户密码

mysql -u root -proot

在数据库中查到用户登录信息

use SkyTech;

select * from login;

账户信息:

sara/ihatethisjob

William/senseable //提示密码不对,无法登录

登录到sara账户尝试提权,发现有sudo命令可利用

但是指定路径/accounts下没有任何文件,Suid位也没有可利用信息

但是看了wp发现这里可以用目录遍历的形势查看文件

查看目录下有哪些文件

sudo ls /accounts/../

sudo ls /accounts/../root

查看 flag 文件

sudo cat /accounts/../root/flag.txt

得到root账户密码theskytower

切换到root即可,提权成功。

相关推荐
zskj_zhyl2 小时前
毫米波雷达守护银发安全:七彩喜跌倒检测仪重构居家养老防线
人工智能·安全·重构
小红卒4 小时前
upload-labs靶场通关详解:第21关 数组绕过
web安全·网络安全·文件上传漏洞
qq_312920117 小时前
开源入侵防御系统——CrowdSec
安全·开源
饶了我吧,放了我吧9 小时前
计算机网络实验——无线局域网安全实验
计算机网络·安全·web安全
kp000009 小时前
GitHub信息收集
web安全·网络安全·信息收集
TracyCoder1239 小时前
Apache Shiro 框架详解
安全·apache·shiro·认证·登录
字节跳动安全中心11 小时前
当AI智能体学会“欺骗”,我们如何自保?来自火山的MCP安全答卷
安全·llm·mcp
muyun280011 小时前
安全访问云端内部应用:用frp的stcp功能解决SSH转发的痛点
运维·安全·ssh·frp
橘子洲头13 小时前
Sigma-Aldrich细胞培养基础知识:细胞培养的安全注意事项
其他·安全
LuDvei15 小时前
CH9121T电路及配置详解
服务器·嵌入式硬件·物联网·网络协议·tcp/ip·网络安全·信号处理