# VulnHub – SkyTower CTF Walkthrough

[Vulnhub](https://www.vulnhub.com/) üzerinde eğlenilebilmek için zafiyetlerle hazırlanmış bir çok makine imajı bulunmakta. Bunlardan birisi [SkyTower](https://www.vulnhub.com/entry/skytower-1,96/). SkyTower çok zor bi CTF değil. Ama ortalama olarak kısa sürede keyifle çözülebilecek bir makine. Aşama aşama çözümü inceleyip /root/flag.txt dosyamıza ulaşalım.

1-) Sanal ortamda makinenin IP’sini bulmak için netdiscover kullanıyoruz.

```
$ netdiscover -r 10.0.2.0/24
```

[![](https://4.bp.blogspot.com/-Vu5DlPXtcTU/VdulxgKCvgI/AAAAAAAAB88/yKybZnnQng0/s1600/skytowerWT3.png)](http://4.bp.blogspot.com/-Vu5DlPXtcTU/VdulxgKCvgI/AAAAAAAAB88/yKybZnnQng0/s1600/skytowerWT3.png)

2-) Hangi portların açık olduğu ve nasıl yürüyeceğimize karar vermek için küçük bir nmap taraması yapıyoruz. Sonuç olarak SSH açık ancak filtered, ancak bir de 3128.port üzerinde proxy var. Yani temel olarak SSH erişimi için proxy kullanmamız gerekecek. Bir de 80 portundan yapılan bir web yayını var. Öncelikle web üzerinden gideceğiz. Çünkü SSH için elimizde herhangi bir parola yok.

[![](https://4.bp.blogspot.com/-W4cMMEpkjxY/VdulyBQh1VI/AAAAAAAAB9I/uahbm2oedxg/s1600/skytowerWT4.png)](http://4.bp.blogspot.com/-W4cMMEpkjxY/VdulyBQh1VI/AAAAAAAAB9I/uahbm2oedxg/s1600/skytowerWT4.png)

3-) 10.0.2.5 IP’sinin 80 portunda şekildeki gibi bir login ekranı geliyor. Haliyle login ekranı görüldüğü an tırnak (‘) atmak alışkanlık.

[![](https://2.bp.blogspot.com/-AG7xX2asoXw/Vdul2TZYfuI/AAAAAAAAB9g/TVyaQgRXWxU/s1600/skytowerWT5.png)](http://2.bp.blogspot.com/-AG7xX2asoXw/Vdul2TZYfuI/AAAAAAAAB9g/TVyaQgRXWxU/s1600/skytowerWT5.png)

4-) Login ekranında atılan tırnak (‘) sayesinde mysql error alınıyor. Evet, biraz hızlı oldu.

[![](https://4.bp.blogspot.com/-eVkSUOa6MuA/Vduly5cs9nI/AAAAAAAAB9Y/S2-gIO8kBeE/s1600/skytowerWT6.png)](http://4.bp.blogspot.com/-eVkSUOa6MuA/Vduly5cs9nI/AAAAAAAAB9Y/S2-gIO8kBeE/s1600/skytowerWT6.png)

5-) Buradaki SQLi üzerinden yürüyeceğiz. ‘ or 1=1 payload’ını yazdığımızda değişen bir şey olmuyor ancak  proxy de ‘or’ kelimesi üzerinde filtre uygulandığını görüyoruz. Bunun üzerine farklı payloadlar denemeliyiz.

[![](https://4.bp.blogspot.com/-GfI6GaoB4MQ/Vdul5jjgNaI/AAAAAAAAB9o/43RD5ffQyNA/s1600/skytowerWT7.png)](http://4.bp.blogspot.com/-GfI6GaoB4MQ/Vdul5jjgNaI/AAAAAAAAB9o/43RD5ffQyNA/s1600/skytowerWT7.png)

6-) or kelimesinin filtrelenmesi sebebiyle oorr tarzında basit yaklaşımlar deniyoruz. Başarılı olan payload aşağıdaki gibi: ‘ oorr 1 > 0 #’

[![](https://3.bp.blogspot.com/-onRCBh-FSX4/Vdul6IRtYDI/AAAAAAAAB9s/txaXsJO8HR0/s1600/skytowerWT8.png)](http://3.bp.blogspot.com/-onRCBh-FSX4/Vdul6IRtYDI/AAAAAAAAB9s/txaXsJO8HR0/s1600/skytowerWT8.png)

7-) SQLi ile john adlı kullanıcıya ve parolasına ulaşmış olduk.

[![](https://3.bp.blogspot.com/-1D1td4sZ9_M/Vdul65HenlI/AAAAAAAAB90/uFK89YtuC4M/s1600/skytowerWT9.png)](http://3.bp.blogspot.com/-1D1td4sZ9_M/Vdul65HenlI/AAAAAAAAB90/uFK89YtuC4M/s1600/skytowerWT9.png)

8- ) Artık elimizde bir kullanıcı ve parolası olduğuna göre SSH ile giriş yapmayı deneyebiliriz. Ancak görüldüğü üzere proxy ihtiyacımız var.

[![](https://2.bp.blogspot.com/-leQY8mcj43U/Vdulqkrg03I/AAAAAAAAB74/hRUvftggk4I/s1600/skytowerWT10.png)](http://2.bp.blogspot.com/-leQY8mcj43U/Vdulqkrg03I/AAAAAAAAB74/hRUvftggk4I/s1600/skytowerWT10.png)

9-) Kali üzerinde proxytunnel kullandık. Proxy için başka herhangi bir araç kullanabilirsiniz. 2222.porta açtığımız proxy sayesinde artık SSH ile bağalanabiliyoruz. Ancak hala yeterli yetkimiz yok!

[![](https://3.bp.blogspot.com/-gbOZKjZGU9M/VduluEws6xI/AAAAAAAAB8Q/3JFoDCF5Rns/s1600/skytowerWT11.png)](http://3.bp.blogspot.com/-gbOZKjZGU9M/VduluEws6xI/AAAAAAAAB8Q/3JFoDCF5Rns/s1600/skytowerWT11.png)

10-) /etc/passwd dosyasının içeriğini görüntülediğimizde sistemde 2 kullanıcının daha olduğunu görüyoruz. sara & william!

[![](https://1.bp.blogspot.com/-bURr9_f4UzE/VdulsZgFxgI/AAAAAAAAB8A/ih7i6hYLScs/s1600/skytowerWT12.png)](http://1.bp.blogspot.com/-bURr9_f4UzE/VdulsZgFxgI/AAAAAAAAB8A/ih7i6hYLScs/s1600/skytowerWT12.png)

11-) Sistemde bir login ekranı olduğuna göre kodlar içerisinde database connection kodları arasında  db için kullanıcı adı ve parola bulabiliriz. login.php içerisinde localhost üzerindeki mysql database kullanıcı adının ‘root’ parolanın da ‘SkyTech’ olduğunu görüyoruz.

[![](https://2.bp.blogspot.com/-NPVQuZ_nwdw/VdulsyQqp4I/AAAAAAAAB8E/nTuDws9YKWs/s1600/skytowerWT13.png)](http://2.bp.blogspot.com/-NPVQuZ_nwdw/VdulsyQqp4I/AAAAAAAAB8E/nTuDws9YKWs/s1600/skytowerWT13.png)

12-) Kullanıcı adı – parolası ile mysql’e bağlanıyoruz. Sonrasında database ve tablo içeriklerine bakarken login tablosu göze çarpıyor.

[![](https://1.bp.blogspot.com/-0edinDl8RcM/VdulusuWdDI/AAAAAAAAB8U/HKrh0J7PiUg/s1600/skytowerWT14.png)](http://1.bp.blogspot.com/-0edinDl8RcM/VdulusuWdDI/AAAAAAAAB8U/HKrh0J7PiUg/s1600/skytowerWT14.png)

13-) login tablosu içerisinde diğer kullanıcıların parolaları da var.

[![](https://1.bp.blogspot.com/-XCtN7vhPick/VdulumN_pfI/AAAAAAAAB8Y/PdovXFJQqJo/s1600/skytowerWT15.png)](http://1.bp.blogspot.com/-XCtN7vhPick/VdulumN_pfI/AAAAAAAAB8Y/PdovXFJQqJo/s1600/skytowerWT15.png)

14-) Öncesinde SSH üzerinde john kullanıcısı ile bağlanırken yaptığımız proxytunnel’ı sara ile bağlanırken 3333.port üzerinde açıp aynı şekilde bağlanıyoruz.

[![](https://1.bp.blogspot.com/-G1cY-cKen0c/VdulvMLkqCI/AAAAAAAAB8o/0oreuhLQtGk/s1600/skytowerWT16.png)](http://1.bp.blogspot.com/-G1cY-cKen0c/VdulvMLkqCI/AAAAAAAAB8o/0oreuhLQtGk/s1600/skytowerWT16.png)

15-) Okumaya yetkimizin olduğu ve olmadığı dizin/dosyalara bakıyoruz.

[![](https://1.bp.blogspot.com/-kiL4Cmq82eg/VdulxrycV9I/AAAAAAAAB9A/iMJMuQFkzM0/s1600/skytowerWT17.png)](http://1.bp.blogspot.com/-kiL4Cmq82eg/VdulxrycV9I/AAAAAAAAB9A/iMJMuQFkzM0/s1600/skytowerWT17.png)

16-) accounts dizinini görüntüleme yetkimiz var. O halde basit bir kandırmaca ile herhangi bir yetki yükseltme yöntemi denmeden önce /root/flag.txt dosyasını okutmaya çalışıyoruz. Ve işe yarıyor. Tabii Vututututututu benim sevinme şeklim. ![🙂](https://s.w.org/images/core/emoji/11/svg/1f642.svg)  root parolasının ‘theskytower’ olduğunu öğreniyoruz.

[![](https://3.bp.blogspot.com/-S0UVALePfw4/VdulwcJErwI/AAAAAAAAB8s/mtLYlLzycso/s1600/skytowerWT18.png)](http://3.bp.blogspot.com/-S0UVALePfw4/VdulwcJErwI/AAAAAAAAB8s/mtLYlLzycso/s1600/skytowerWT18.png)

17-) Mission complete.

[![](https://3.bp.blogspot.com/-9HWhtRxBeAs/VdulxZK4QSI/AAAAAAAAB84/NqVYUsl96EA/s1600/skytowerWT19.png)](http://3.bp.blogspot.com/-9HWhtRxBeAs/VdulxZK4QSI/AAAAAAAAB84/NqVYUsl96EA/s1600/skytowerWT19.png)

-EOF-

07 Haziran 2016


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://lookbook.cyberjungles.com/things/vulnhub-skytower-ctf-walkthrough.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.