vulnhub-SkyTower: 1

靶机地址：https://www.vulnhub.com/entry/skytower-1,96/

目标：得到root权限&找到flag.txt

作者：尼德霍格007

时间：2021-7-31

一、信息收集

nmap扫描目标IP地址

nmap -sP 192.168.21.0/24

扫描到四个地址，分别是：

192.168.21.2——网关地址

192.168.21.147——靶机IP地址

192.168.21.254——DHCP服务器地址

192.168.21.128——kali机IP地址

找到靶机的IP地址后，扫描开放的端口

nmap -A -sP 192.168.21.147

可以看到开放了22（需要代理）、80和一个3128代理端口

先访问一下web

是一个登录界面

二、开始渗透

看到没有验证码，试一下弱口令爆破，失败

试试有没有sql注入，

打开burpsuite，试了一下，可以注入

得到一个账户名和密码

Username: john
Password: hereisjohn

试试ssh登录

前面nmap探测到ssh服务是需要代理的，先设置一下代理

使用proxytunnel设置代理服务器隧道（在本机的6666端口和靶机的3128端口建立隧道）

proxytunnel -p 192.168.21.147:3128 -d 127.0.0.1:22 -a 6666

三、获取shell

ssh登录

ssh john@127.0.0.1 -p 6666

登录失败，提示Funds have been withdrawn，意思是信息已被提取，可以理解为已经登录但是被踢出来了

没有关系，我们试着登录的同时执行命令

ssh john@127.0.0.1 -p 6666 ls -la

可以正常执行命令，看到有bashrc文件，猜想登录上去被踢出来的原因就在这里，

查看一下

ssh john@127.0.0.1 -p 6666 cat .bashrc

可以确定就是这里的问题，试试能不能修改它，给他改个名字

然后登录

登录成功

四、提权

但是有点小遗憾，没能执行sudo提权，继续找找看

最终在/var/www/login.php中找到了数据库的用户名和密码，登录数据库

查询到三个用户和密码，因为我们登录的john用户没有sudo权限，换其他用户试试

登录sara，一样的提示，

用同样的方法

成功登录

发现可以使用sudo查看根目录下的account的所有信息

这里可以使用相对路径直接取root根目录下的flag.txt

sudo cat /accounts/../root/flag.txt

得到root的密码，直接登录得到root权限

五、总结

这次漏洞复现没有难点，主要考查ssh的运用、SQL注入攻击的理解、mysql的基础知识！认真复现一遍下来收获满满，很不错的一台靶机，大家也可以试试！

总结

以上是生活随笔为你收集整理的11-VulnHub-SkyTower 1的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。