# 靶场搭建
直接导入打开就行,IP: 192.168.174.132
# 渗透过程
# 信息初收集
22/tcp open ssh
woc 只开了 22?
真的没有新的东西了
连一下看看呢?发现改了 banner 信息,有提示: Easy as 1,2,3
这…… 什么意思?
查了资料发现说事解密,要按顺序敲一下 1,2,3 端口才会开放特定的端口。啊这……
nmap -Pn --max-retries 0 -p 1 192.168.174.132
nmap -Pn --max-retries 0 -p 2 192.168.174.132
nmap -Pn --max-retries 0 -p 3 192.168.174.132
然后再去扫描发现 1337 端口也开放了,是个 http 的服务,那进去看下
做了一下目录扫描,看到了 404.html,查看源代码有 base64 编码字符串
两次解码,发现新的路径: /978345210/index.php
是一个登录口子,sql 注入一下
+----+------------------+----------+ | |
| id | password | username | | |
+----+------------------+----------+ | |
| 1 | iwilltakethering | frodo | | |
| 2 | MyPreciousR00t | smeagol | | |
| 3 | AndMySword | aragorn | | |
| 4 | AndMyBow | legolas | | |
| 5 | AndMyAxe | gimli | | |
+----+------------------+----------+ |
找到账号密码,登录进去,发现一张 LEGOLAS 的图片
# ssh
没发现有什么功能,所以用获取的账号密码枚举 ssh 登录,登录了一个账号: smeagol/MyPreciousR00t
# 提权
searchsploit 中的 39166.c 直接提权
# 小结
三板斧,提权可以用这种方式进行,也可以尝试 mysql 的 UDF 提权。说真的没什么意义,直接上传编译提权是最简单的。
