Skip to content

Latest commit

 

History

History
236 lines (124 loc) · 11.1 KB

VulnHub-SkyTower: 1.md

File metadata and controls

236 lines (124 loc) · 11.1 KB
Raw

本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com

大余安全  

一个每日分享渗透小技巧的公众号

大家好,这里是 大余安全 的第 16 篇文章,本公众号会每日分享攻防渗透技术给大家。

靶机地址:https://www.vulnhub.com/entry/skytower-1,96/

靶机难度:中级(CTF)

靶机发布日期:2014 年 6 月 26 日

靶机描述:该 CTF 是由 Telspace Systems 在 ITWeb 安全峰会和 BSidesCPT(开普敦)上为 CTF 设计的。目的是测试中级到高级的安全爱好者使用多方面方法攻击系统并获得 “标志” 的能力。

目标:得到 root 权限 & 找到 flag.txt

请注意:对于所有这些计算机,我已经使用 VMware 运行下载的计算机。我将使用 Kali Linux 作为解决该 CTF 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。

一、信息收集

我们在 VM 中需要确定攻击目标的 IP 地址,需要使用 nmap 获取目标 IP 地址:

我们已经找到了此次 CTF 目标计算机 IP 地址:

192.168.56.101


nmap -sS -sV -T5 -A -p- 192.168.56.101

开放了 22(filtered)、80、3128 代理端口... 盒子都有代理...

直接对 80 端口展开 web 渗透...

尝试用 admin 登录,失败...

这边用 bp 试试

把它发到 Repeater 继续分析...

加了一点,可以进行 sql 注入攻击

尝试看看

这边代码不行,将代码在本地用 sqlmap 注入攻击进行攻击

这边 sqlmap 让它慢慢扫,我们继续用 bp 来执行 sql 注入,这边先查看 Order by 注入方式...(不会的找资料学下 sql,看两遍就会了)

发现'dey 这里 or 没有用???

继续测试

这里 OR 还是没效果... 在测试下,

RR... 这边总结 or 注入不能用...

AND 也不行...

这边 || 1 #成功注入,看看信息...

Username: john
Password: hereisjohn

前面 sqlmap 扫描就不分析了... 因为比较顺利发现了 john 用户密码... 稳,继续下去

尝试 ssh 登录 john 发现不行,回想 nmap 扫描出 ssh 是不可用的,但是开了代理,我这边使用代理访问 ssh 试试...

proxytunnel -p 192.168.56.101:3128 -d 127.0.0.1:22 -a 6666

使用 proxytunnel 设置代理服务器隧道(-H 可以查看帮助)

正常访问,但是密码错误,回复:Funds have been withdrawn(已经提取了信息,可以理解已登录,但是登录失败)测试看看

二、提权

通过代理 ssh 可以登录,但是进不去目录,但是可以通过命令查看 john 目录信息...!!!

可以看到,我想修改他,但是 vi .bashrc 提示只可读不可写... 好吧,我 rm 删除它

这边用 bin/bash 的注释

成功登录,顺利!!

Sorry, user john may not run sudo on SkyTower.

直接 sudo 提权... 提示不能提权,就知道没这么简单...

查看 mysql 根凭证,action 是一个参数传递给 login.php 处理,我来看看 login.php...

发现 root、root 信息... 那么登录 mysql

列出数据库当前用户:

查看指定数据库中的所有表:login

|  1 | john@skytech.com    | hereisjohn   |
|  2 | sara@skytech.com    | ihatethisjob |
|  3 | william@skytech.com | senseable |

找到三组账号密码.... 尝试第二个

好吧,老问题... 循环后直接登录

成功登录...

这边也直接 sudo 提权试试,发现有方法可进入 root 用户!!!!

/bin/cat /accounts/*, (root) /bin/ls /accounts/*

找到 accounts 目录查看用户信息... 发现有 root 用户信息,可读...cat 看他!!

用户 sara 具有对二进制文件的 sudo 访问权限 / bin/cat,使用路径遍历来查找其内容 / root/flag.txt 包含根密码的目录,这边成功查看到了 root 密码:theskytower

继续...

Congratz, have a cold one to celebrate!

root password is theskytower

这次靶机是 ITWeb 安全峰会和 BSidesCPT(开普敦)上为 CTF 设计的,主要学习到了 ssh 的运用、SQL 注入攻击的理解、mysql 的基础知识!!很好的一台靶机,大家也去试试吧!!

由于我们已经成功得到 root 权限 & 找到 flag.txt,因此完成了 CTF 靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。

如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。

如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~

欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!

大余安全

一个全栈渗透小技巧的公众号