本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/skytower-1,96/
sudo nmap -sC -sV -n -p- -T5 192.168.202.12 -oN skytower.nmap
nmap扫描结果
开放了3个端口,22端口还被过滤了,就先看看80端口的web应用
试了下确认有注入,这里直接注入出来了一个用户john
使用此账户和密码登录目标靶机,结果发现连接不上,想到上面nmap扫描的结果中22端口被过滤了,但是看到有另一个代理端口3128,此时我尝试使用kali下的proxytunnel进行代理转发
proxytunnel -p 192.168.202.12:3128 -d 127.0.0.1:22 -a 8844
还可以使用socat进行端口转发目标代理端口3128,作用是一样的
socat TCP-LISTEN:8844,reuseaddr,fork PROXY:192.168.202.12:127.0.0.1:22,proxyport=3128
这里同样是可以使用proxychains进行操作,配置成http代理即可
开始连接目标靶机
显示了登录成功,但是被踢出来了,但是没关系,可以通过ssh登录成功的同时执行命令
可以正常执行命令,看到有bashrc文件,猜想登录上去被踢出来的原因就在这里,先看看其内容
已经可以确认了就是bashrc的原因,这里有两种方法操作,一种是将其mv改一个名字即可远程登录上去,另一种方法就是因为是可以执行命令的,那么可以通过nc直接反弹shell来完成,我这里就直接改名字好了
上述登录成功目标靶机, 然后执行了sudo -l,但遗憾的时候没能发现存在sudo提权信息,此时进入目标靶机的用户家目录,没发现信息,然后翻看了默认的网站根目录,发现数据库相关账户和密码
登录目标靶机的数据库,直接查询到有三个用户和对应的密码
直接登录用户sara,发现跟john登录的情况一样,那么使用同样的方法登录成功了sara用户
登录之后成功之后发现cat命令可以使用sudo查看根目录下的accounts的所有信息,这里可以使用相对路径直接读取root根目录下的flag.txt
