前期準備：

靶機地址：https://www.vulnhub.com/entry/empire-lupinone,750/

kali攻擊機ip：192.168.11.129
靶機ip：192.168.11.190

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開了22和80埠，80埠還掃出了 robots.txt 檔案。

2. 80埠

看一下 robots.txt 檔案有個 /~myfiles 路徑：

與 /~myfiles ，類似的目錄應該還有，用 wfuzz 掃一下：

發現了 /~secret 路徑：

提到了有個隱藏檔案 SSh 私鑰，密碼破解和一個使用者名稱 icex64，找一下隱藏檔案，應該是 “ .**** ” 檔案：

沒掃出來，那大概就是帶有後綴的檔案，換成 ffuf 掃，這個工具可以選擇檔案字尾：

ffuf -u "http://192.168.11.190/~secret/.FUZZ" -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -e .pub,.txt,.html -mc 200

發現了 .mysecret.txt 檔案，檢視一下：

一串字元，看著像 base 系列的，挨個試一下;

最後 base58 解出來了，有了私鑰，使用 ssh2john.py 生成密碼本就可以爆破了。

二、ssh私鑰爆破

注：

賦權 600 就可以，許可權太大的話會 ssh 也登入不了。

解得密碼： P@55w0rd!，用之前發現的使用者名稱 icex64 ssh 登入。

三、提權

檢視許可權：

發現可以作為使用者 arsene 執行/home/aresene 下的檔案，看一下這個 heist.py 檔案：

用的 webbrowser 庫，看看這個庫能不能寫入，能的話就寫如個shell，從而獲得 aresene 使用者：

這個目錄是python的預設目錄，不記得的話就 find 找一下，發現許可權是滿的，那就可以再其中寫入shell：

然後再用 arsene 呼叫 /home/arsene/heist.py：

sudo -u arsene python3.9 /home/arsene/heist.py

成功獲取了 arsene 使用者，檢視一下許可權：

發現以 root 身份執行 pip，那就可以以 pip 進行提權 ：

成功獲取到 root 許可權，檢視 flag：