VulnHub靶机-SkyTower

VulnHub靶机-SkyTower

下载地址：https://www.vulnhub.com/entry/skytower-1,96/
下载靶机后在VirtualBox下打开，网卡配置为桥接
任务：提权并获取flag

环境：
攻击机和靶机均在192.168.8.0段
攻击机：kali linux 192.168.8.108

---

一、信息搜集

要想渗透靶机，首先得知道靶机的IP是什么，我们先用nmap探测存活主机。
命令：nmap -sP 192.168.8.0/24

知道了靶机的IP是192.168.8.109后，继续用nmap扫描靶机开放的端口。
命令：nmap -A -p- 192.168.8.109

探测出靶机开放了22、80、3128端口，其中22端口被过滤了，且3128端口是一个代理端口，猜测需要开启代理才能访问靶机的22端口。

先访问80端口。

看到登录框，第一反应是sql注入，bp抓包放repeater里点发送。

login failed，意料之中，在第一个admin后边加个单引号。

sql报错中提示多了个单引号，在admin’后边再加一个注释符#
提示登录失败，也就是说这个位置是注入点，尝试万能payload破解密码
11#及后面的语句报错，继续尝试用order by爆破字段数。
der以及后面语句报错，再结合上一个报错，猜测or被过滤了。使用||代替or继续尝试万能payload。

成功登进网页。并显示账号john的密码是hereisjohn。
由于之前所说的，猜测需要代理靶机的3128端口才能访问其22端口，这里使用proxytunnel设置代理服务器隧道，代理后指定访问的ip为127.0.0.1，端口为22，监听端口为8888。

接着访问靶机的22端口。
可以看到已经登录成功，但是马上连接就被关闭了，并且提示Funds have been withdrawn。既然已经登录，那就直接执行命令试试。

查看目录。

查看.bashrc。

可以看到ssh被关闭是因为.bashrc的配置，将这个文件删除后登录ssh。

可以看到成功登录进去了。sudo -l 查看能不能sudo提权

发现不行，进入/var/www下看到login.php。

还记得在login.php这页面上进行过sql注入吗，php文件里会包含着数据库的用户名和密码，进去login.php查看。
可以看见root用户的密码也是root，且数据库是SkyTech，进入mysql查看。
三个用户的密码都被我们知晓了，先进第二个用户查看。

又是这句话，重复之前步骤用ssh进入sara。
查看sudo -l
可以看到，sara用户允许使用sudo命令cat或ls /accounts目录下的任何文件。

二、提权

这里找到accounts目录，使用sudo ls命令查看里面的内容。

最后用sudo cat命令查看到flag.txt文件，并获取root的密码theskytower。

提权成功，至此已完成该靶机。