靶场搭建
直接导入打开就行,IP:192.168.174.132
渗透过程
信息初收集
22/tcp open ssh
woc只开了22?
真的没有新的东西了
连一下看看呢?发现改了banner信息,有提示:Easy as 1,2,3
这……什么意思?
查了资料发现说事解密,要按顺序敲一下1,2,3端口才会开放特定的端口。啊这……
nmap -Pn --max-retries 0 -p 1 192.168.174.132
nmap -Pn --max-retries 0 -p 2 192.168.174.132
nmap -Pn --max-retries 0 -p 3 192.168.174.132
然后再去扫描发现1337端口也开放了,是个http的服务,那进去看下
做了一下目录扫描,看到了404.html,查看源代码有base64编码字符串
两次解码,发现新的路径:/978345210/index.php
是一个登录口子,sql注入一下
+----+------------------+----------+
| id | password | username |
+----+------------------+----------+
| 1 | iwilltakethering | frodo |
| 2 | MyPreciousR00t | smeagol |
| 3 | AndMySword | aragorn |
| 4 | AndMyBow | legolas |
| 5 | AndMyAxe | gimli |
+----+------------------+----------+
找到账号密码,登录进去,发现一张LEGOLAS
的图片
ssh
没发现有什么功能,所以用获取的账号密码枚举ssh登录,登录了一个账号:smeagol/MyPreciousR00t
提权
searchsploit中的39166.c
直接提权
小结
三板斧,提权可以用这种方式进行,也可以尝试mysql的UDF提权。说真的没什么意义,直接上传编译提权是最简单的。