前期準備：

靶機地址：https://www.vulnhub.com/entry/evilbox-one,736/

kali攻擊機ip：192.168.11.129
靶機ip：192.168.11.194

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開放了22和80埠。

2. 80埠

看了下原始碼也沒發現什麼，掃一下目錄：

發現了 /robots.txt 和 /secret，檢視一下：

/robots.txt 中：

H4x0r 可能是個使用者名稱。

/secret 中：

是個空白的頁面，上面掃的結果顯示 /secret 下可能還有別的東西，再掃一下：

發現個 /evil.php 頁面：

也什麼都沒有，試試是不是檔案包含。

二、漏洞利用

一開始用了 file=../../ 嘗試了沒有發現什麼，用 wfuzz 掃一下：

發現 command 欄位可以，嘗試一下：

沒有問題，發現 mowree 使用者可能有用：

檢視一下他家目錄下可能有的檔案：

沒有什麼歷史，查一下 .ssh 目錄下的檔案：

發現有私鑰，而且也有 authorized_keys ，那就可以爆破一下然後 ssh 登入，先把私鑰複製下來：

密碼是：unicorn，ssh 登入：

登陸成功，檢視檔案後發現一個 flag：

三、提取

檢視一下許可權：

沒發現什麼可利用的，跑一變 linpeas.sh {LinPEAS 是一個指令碼，用於搜尋在 Linux/Unix*/MacOS 主機上提升許可權的可能路徑。}

檢視一下 output.txt :

我們剛才就是利用的 /.ssh/id_rsa 檔案獲得的密碼，檢視一些方便提權的資訊：

發現 /etc/passwd 檔案可以寫入，這就方便了，寫入一個使用者來提權就比較簡單，先做一個密碼：

按照 passwd 檔案中的格式編輯好：

貼上到 /etc/passwd 檔案中：

切換成自己寫的使用者：

成功獲取到 root 使用者：