OSCP之SkyTower

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者和此公众号不为此承担任何责任。

NO.1

靶场下载与启动

https://www.vulnhub.com/entry/skytower-1,96/

这就正式启动了    

NO.2

基础的信息收集

Nmap -sn 192.168.56.1/24 收集靶机ip

对靶机进行TCP与UDP 的端口扫描，这里我们确认101为我们的靶机ip本机ip是105

Nmap -sS -sU -P- 192.168.56.101 --min-rate 10000 -oA Skytower/nmap_port

之后再对当前的端口进行版本与操作系统的探测    

在这个版本探测中，我们发现系统是linux系统，22端口呢还是没有开放的状态，之剩下了80跟3128，而3128又是http-proxy是一个http的代理，所以第一个能看的就是80端口了

在对其进行漏洞扫描

这个漏洞扫描没看见什么cve的漏洞，但是看到了一个sql注入的漏洞，那既然有sql注入我们就看看万能密码有没有用。

那么接下来就要看一下这个sql注入的利用了，打开网站，同时也对网站路径进行扫描

经过最后的测试，我们发现了万能密码的写法，其中，他把or过滤掉了用双写绕过，再就是吧=号也给过滤了只能用like来替换，注释符呢，-- 被过滤使用了#号    

最终密码的组合：123'oorr+1+like+1+#

现在是成功登陆了，目录爆破被没有什么结果    

我们登陆进去之后呢，发现了一个账号密码

那么可以不可以使用这个账号密码来进行ssh链接呢？但是有一个问题就是ssh链接现在不可用，在这种情况下，我们就要考虑到3128这个端口的作用了，他是一个代理，那是不是说明，我们可以通过这个代理工具来直接本地访问22端口来实现ssh的访问呢？我们来看一下。    

新的知识点：kali本身是可以设置代理的，设置代理文件是/etc/porxychinas.conf

最后一行写入格式如图

登陆了但是直接退出了，可能是又做了什么限制，但是ssh有一个特点可以在登陆的时候带一条指令来执行    

这样就太麻烦了，我们直接运行一下/bin/bash来看一下

直接就是一个简单的交互了，之后看看问题出在哪里

他这个名字看的就很奇怪直接看这个文件    

奇怪是奇怪但是没什么东西，看看别的，看了一下.bashrc。

看一下这段代码到最后是exit退出，那么我们吧这个文件修改一下是不是就可以了

之后重新ssh链接尝试一下    

这下就正常了。

找到了sql注入的过滤条件那就证明我们离成功越来越近了，当然也看到了数据库的账号密码root root    

进入之后我们找库，看看能不能找到更多的东西

Show databases;

Use SkyTech ;

Show tables;

Select * from login;

我们发现了3个账号密码，之后一次进行尝试，也可以使用九头蛇进行爆破

已经将两个文件整理好直接使用hydra爆破    

通过爆破我们发现sara的账号密码是可以登陆的，那我们现在尝试一下

登陆成功但是还是直接退出，那就证明可能还是那个bsahrc的问题，还是老方法    

那么我们已经完成，再次连接就可以了

我们发现这个账号是有sudo权限的，并且有一个是文件后面带*，星号是什么意思，是这个文件之后的都可以，那么我们扩展一下思路我们可不可以直接

Sudo /accounts/../../../../../root呢？尝试一下    

直接找到了root的密码，那么我们直接登录看一下是否能成功

这就完整的拿到了root的权限。

今天就到这里了。    

原文始发于微信公众号（攻防学堂）：OSCP之SkyTower