靶场搭建

直接导入打开就行，IP:192.168.174.132

渗透过程

信息初收集

22/tcp open  ssh

woc只开了22？

真的没有新的东西了

连一下看看呢？发现改了banner信息，有提示：Easy as 1,2,3

这……什么意思？

查了资料发现说事解密，要按顺序敲一下1,2,3端口才会开放特定的端口。啊这……

nmap -Pn --max-retries 0  -p 1 192.168.174.132
nmap -Pn --max-retries 0  -p 2 192.168.174.132
nmap -Pn --max-retries 0  -p 3 192.168.174.132

然后再去扫描发现1337端口也开放了，是个http的服务，那进去看下

做了一下目录扫描，看到了404.html，查看源代码有base64编码字符串

两次解码，发现新的路径：/978345210/index.php

是一个登录口子，sql注入一下

+----+------------------+----------+
| id | password         | username |
+----+------------------+----------+
| 1  | iwilltakethering | frodo    |
| 2  | MyPreciousR00t   | smeagol  |
| 3  | AndMySword       | aragorn  |
| 4  | AndMyBow         | legolas  |
| 5  | AndMyAxe         | gimli    |
+----+------------------+----------+

找到账号密码，登录进去，发现一张LEGOLAS的图片

ssh

没发现有什么功能，所以用获取的账号密码枚举ssh登录，登录了一个账号：smeagol/MyPreciousR00t

提权

searchsploit中的39166.c直接提权

小结

三板斧，提权可以用这种方式进行，也可以尝试mysql的UDF提权。说真的没什么意义，直接上传编译提权是最简单的。