【SkyTower靶场渗透】

文章目录

一、基础信息

二、信息收集

三、漏洞探测

四、ssh登录

五、提权


一、基础信息

Kali IP:192.168.20.146

靶机IP:192.168.20.149

二、信息收集

端口扫描

nmap -sS -sV -p- -A 192.168.20.149

开放了22、80、3128等端口

80:apache httpd 2.2.22

3128:squid 3.1.20

访问一下80页面,后台php语言,版本5.4.4

目录扫描

80页面目录扫描没有发现

3128端口扫描也没发现

三、漏洞探测

只能先从80登录页面入手,直接抓包sqlmap梭哈,发现注入不出

尝试手工测试,发现有很多过滤,过滤了or,=,group,union,select,and,逗号等等,email与password参数均为单引号闭合

还是先尝试万能密码,or与and过滤可以用&&或者||绕过,=过滤可以用like

Payload=' || 'a' like 'a

得到了邮箱信息,以及账户密码:john/hereisjohn

参考其他wp,也可以用常用注入语句进行测试。

https://github.com/melbinkm/SQL-Injection-Payloads/blob/master/sqli_auth.list

intruder进行sql注入爆破,选择email和password参数,攻击类型设置:pitchfork

同样注入成功,但是有点不太理解为什么会成功。

四、ssh登录

现在有了账号密码信息,尝试ssh登录但是没有成功,端口状态为filtered

尝试从3128端口寻找突破口,页面提示信息squid 3.1.20

查了一下,Squid是一套代理服务器和Web缓存服务器软件,提供缓存万维网、过滤流量、代理上网等功能。

查到两个漏洞信息,一个缓冲区溢出,一个拒绝服务攻击,尝试了一下没有结果

想到squid提供的代理服务,尝试设置代理访问

proxychains使用参考https://zhuanlan.zhihu.com/p/166375631

vim /etc/proxychains4.conf

http 192.168.20.149 3128

通过代理,连接ssh

proxychains ssh john@192.168.20.149 -t "/bin/sh"

五、提权

Sudo提权:提示没有

Suid位提权:没有发现

到辅助网站查询命令:https://gtfobins.github.io/

内核提权:Uname -a;cat /etc/*release

版本漏洞搜索后没有利用成功,继续尝试其他方式

计划任务:没有发现

查看定时任务

find /etc/*cron* -type f -ls 2>/dev/null

查看定时任务内容

find /etc/*cron* -type f -ls 2>/dev/null -exec cat {} \; > /tmp/cron.txt

grep '\*' /tmp/cron.txt

/var/spool/cron下没有查看权限

似乎当前账号没找到好的提权方式,继续做一下信息收集

在网站根目录/var/www下的login.php文件中发现数据库账户密码

mysql -u root -proot

在数据库中查到用户登录信息

use SkyTech;

select * from login;

账户信息:

sara/ihatethisjob

William/senseable //提示密码不对,无法登录

登录到sara账户尝试提权,发现有sudo命令可利用

但是指定路径/accounts下没有任何文件,Suid位也没有可利用信息

但是看了wp发现这里可以用目录遍历的形势查看文件

查看目录下有哪些文件

sudo ls /accounts/../

sudo ls /accounts/../root

查看 flag 文件

sudo cat /accounts/../root/flag.txt

得到root账户密码theskytower

切换到root即可,提权成功。

相关推荐
小南知更鸟30 分钟前
【论文阅读】PRIS: Practical robust invertible network for image steganography
论文阅读·深度学习·网络安全
Hacker_LaoYi2 小时前
CryptoJS加密(网络安全)
网络·web安全·php
阿大撒大撒2 小时前
windows操作系统安全
安全
乐茵安全3 小时前
安装与认识wireshark
网络安全
独行soc3 小时前
#渗透测试#红蓝对抗#SRC漏洞挖掘# Yakit插件使用及编写01
安全·web安全·漏洞挖掘·hw·红蓝攻防
tangjunjun-owen3 小时前
异常安全重启运行机制:健壮的Ai模型训练自动化
人工智能·python·安全·异常重运行或重启
打码人的日常分享4 小时前
【网络安全资料文档】网络安全空间态势感知系统建设方案,网络安全数据采集建设方案(word原件)
数据库·安全·web安全·需求分析·规格说明书
都适、隶仁ミ4 小时前
【密码学】SM4算法
linux·运维·服务器·算法·网络安全·密码学·网络攻击模型
科技小E5 小时前
视频点播直播EasyDSS与无人机RTMP推流直播为何成为热门跨界融合技术
安全·php·音视频·无人机·视频监控
小翼不想投降6 小时前
MSF(Metasploit Framework)
安全