vulnhub-SkyTower: 1

靶機地址：https://www.vulnhub.com/entry/skytower-1,96/

目標：得到root權限&找到flag.txt

作者：尼德霍格007

時間：2021-7-31

一、信息收集

nmap掃描目標IP地址

nmap -sP 192.168.21.0/24

掃描到四個地址，分別是：

192.168.21.2——網關地址

192.168.21.147——靶機IP地址

192.168.21.254——DHCP服務器地址

192.168.21.128——kali機IP地址

找到靶機的IP地址后，掃描開放的端口

nmap -A -sP 192.168.21.147

可以看到開放了22（需要代理）、80和一個3128代理端口

先訪問一下web

是一個登錄界面

二、開始滲透

看到沒有驗證碼，試一下弱口令爆破，失敗

試試有沒有sql注入，

打開burpsuite，試了一下，可以注入

得到一個賬戶名和密碼

Username: john
Password: hereisjohn

試試ssh登錄

前面nmap探測到ssh服務是需要代理的，先設置一下代理

使用proxytunnel設置代理服務器隧道（在本機的6666端口和靶機的3128端口建立隧道）

proxytunnel -p 192.168.21.147:3128 -d 127.0.0.1:22 -a 6666

三、獲取shell

ssh登錄

ssh john@127.0.0.1 -p 6666

登錄失敗，提示Funds have been withdrawn，意思是信息已被提取，可以理解為已經登錄但是被踢出來了

沒有關系，我們試著登錄的同時執行命令

ssh john@127.0.0.1 -p 6666 ls -la

可以正常執行命令，看到有bashrc文件，猜想登錄上去被踢出來的原因就在這里，

查看一下

ssh john@127.0.0.1 -p 6666 cat .bashrc

可以確定就是這里的問題，試試能不能修改它，給他改個名字

然后登錄

登錄成功

四、提權

但是有點小遺憾，沒能執行sudo提權，繼續找找看

最終在/var/www/login.php中找到了數據庫的用戶名和密碼，登錄數據庫

查詢到三個用戶和密碼，因為我們登錄的john用戶沒有sudo權限，換其他用戶試試

登錄sara，一樣的提示，

用同樣的方法

成功登錄

發現可以使用sudo查看根目錄下的account的所有信息

這里可以使用相對路徑直接取root根目錄下的flag.txt

sudo cat /accounts/../root/flag.txt

得到root的密碼，直接登錄得到root權限

五、總結

這次漏洞復現沒有難點，主要考查ssh的運用、SQL注入攻擊的理解、mysql的基礎知識！認真復現一遍下來收獲滿滿，很不錯的一臺靶機，大家也可以試試！

總結

以上是生活随笔為你收集整理的11-VulnHub-SkyTower 1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。