渗透靶场SkyTower学习过程分享

渗透学习 - SkyTower

信息收集

使用nmap进行信息收集

从图中可以看出，目标主机开启了22,80和3128端口，并且22端口的状态为filtered(过滤)状态。

（解释一下图中操作：-Pn为跳过 Ping 检测，直接扫描目标 IP。-p则仅检查目标主机的 22、80、3128 端口。-A为尝试识别这些端口上运行的服务版本、操作系统。-n为不进行 DNS 解析，减少扫描时间。）

web服务信息收集

接着打开浏览器访问主机的web服务，发现是一个登录页面，尝试是否有sql注入漏洞，对其进行万能密码爆破。

在爆破过程中，疑似被过滤了and和or及–+，只有上图密码成功。

登录成功后出现一个如图所示邮件，上面写有Username:john及Password:hereisjohn，可能和ssh有关，先进行记录备用。

SSH尝试

首先利用john用户进行ssh连接尝试，发现怎么也连接不上，一番尝试过后突然想到22端口是过滤状态，可能是被防火墙拦了，因为靶机还有一个3128代理端口，可以尝试利用这个端口代理进入内网登陆ssh。

设置代理

使用proxytunnel工具进行代理设置，如下图：

工作原理

proxytunnel会先连接到目标主机的3128端口（假设这是一个 HTTP 代理）。

CONNECT请求通过代理向目标127.0.0.1:22发起HTTP CONNECT请求，建立隧道。

如果代理允许连接，本地3245端口会与127.0.0.1:22建立隧道。

用户可以通过连接本地的3245端口访问远程的22端口（SSH）。

设置完成后处于代理状态，我们再打开一个命令行终端，进行shh登陆：

输入密码hereisjohn之后连接成功但是立马就退出了，推测可能是跟john用户下的.bashrc文件内容有关。

发送命令cat .bashrc文件后发现文件最后一行有exit命令，这个命令导致了ssh连接后马上退出，我们直接把这个文件给它删除（ps:实战中得考虑后果再干这事）。

删除之后我们再进行登陆就可以正常连接了

提权

收集提权信息

利用john对网页目录进行查看发现如下：

john@SkyTower:~$ cd /var/www
john@SkyTower:/var/www$ ls
background2.jpg  background.jpg  index.html  login.php
john@SkyTower:/var/www$ cat login.php 
<?php
$db = new mysqli('localhost', 'root', 'root', 'SkyTech');
if($db->connect_errno > 0){
    die('Unable to connect to database [' . $db->connect_error . ']');
}
$sqlinjection = array("SELECT", "TRUE", "FALSE", "--","OR", "=", ",", "AND", "NOT");
$email = str_ireplace($sqlinjection, "", $_POST['email']);
$password = str_ireplace($sqlinjection, "", $_POST['password']);
$sql= "SELECT * FROM login where email='".$email."' and password='".$password."';";
$result = $db->query($sql);
if(!$result)
    die('There was an error running the query [' . $db->error . ']');
if($result->num_rows==0)
    die('<br>Login Failed</br>');
$row = $result->fetch_assoc();
echo "<HTML>";
echo '
      <div style="height:100%; width:100%;background-image:url(\'background.jpg\');
                                background-size:100%;
                                background-position:50% 50%;
                                background-repeat:no-repeat;">
      <div style="
                  padding-right:8px;  
                  padding-left:10px; 
                  padding-top: 10px;  
                  padding-bottom: 10px;  
                  background-color:white;     
                  border-color: #000000;
                  border-width: 5px;
                  border-style: solid;
                  width: 400px;
                  height:430px;
                  position:absolute;
                  top:50%;
                  left:50%;
                  margin-top:-215px; /* this is half the height of your div*/  
                  margin-left:-200px;
                                ">
        ';
echo "<br><strong><font size=4>Welcome ".$row["email"]."</font><br /> </br></strong>";
echo "As you may know, SkyTech has ceased all international operations.<br><br> To all our long term employees, we wish to convey our thanks for your dedication and hard work.<br><br><strong>Unfortunately, all international contracts, including yours have been terminated.</strong><br><br> The remainder of your contract and retirement fund, <strong>$2</strong> ,has been payed out in full to a secure account.  For security reasons, you must login to the SkyTech server via SSH to access the account details.<br><br><strong>Username: ".explode("@",$row["email"])[0]."</strong><br><strong>Password: ".$row["password"]."</strong>";
echo " <br><br> We wish you the best of luck in your future endeavors. <br> </div> </div>";
echo "</HTML>"
?>
john@SkyTower:/var/www$

发现了数据库的用户名和密码为root:root

登录数据库进行信息收集

进入数据库后使用show databases;命令查看数据库，再进行一系列操作最终得到另外两个用户的用户名及密码。

SSH登陆

使用sara用户进行远程登陆，发现同样连接后立马退出，进行删除.bashrc文件后再进行登陆。

登录成功，尝试提权到root用户。

sudo提权

sudo -l查看一下可以进行什么操作，得到/accounts/有权限，大胆猜测flag.txt文档一定存在root目录下，结果确实如此。

root password is theskytower!!!

最后su root 输入密码，提权到root。

（本人小白，请佬佬们嘴下留情，新手总是爱记录 :））