前期準備：

靶機地址：https://www.vulnhub.com/entry/hacksudo-proximacentauri,709/

kali攻擊機ip：10.0.2.7
靶機ip：10.0.2.13

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開放了22（filtered 狀態，大概要埠敲門）和80（pluck 4.7.13）埠。

2. 80埠

nmap 掃描是發現是 pluck cms 4.7.13，網上查了一下發現有檔案上傳漏洞：

不過要登入之後使用，那就找一下有沒有登入的使用者名稱和密碼，先掃一下目錄：

挨個訪問一下：

/login.php 登入介面：

/planet 頁面：

檢視下 travel/：

檢視原始碼發現：

說開啟傳送門前往 proxima，RA 表示開啟，Dec 表示關閉 Proxima blackwhole 門戶，大概指的是埠敲門的埠，從 https://g.co/kgs/F9Lb6b 獲取座標：

在連線的搜尋中加上 co-ordinate ：

那麼 13、29、43是埠敲門的三個埠：

knock 10.0.2.13 14 29 43

埠敲門後發現 ssh 在開啟狀態，嘗試連線一下，雖然不知道使用者名稱和密碼：

發現給了個連結，訪問一下：

是個字典，用這個字典爆破一下前面發現的 /login.php 密碼，抓下用密碼登入時的包：

設定字典：

爆破：

hacktheplanet

二、漏洞利用

利用一開始發現的漏洞指令碼攻擊：

python3 49909.py 10.0.2.13 80 hacktheplanet ""

訪問一下 shell.phar：

獲得了使用者的 shell。這樣用著不方便，用 nc 連線：

發現有 python3，那就用 python3 的反彈 shell：

nc 連線成功，升級一下 shell。

三、提權

檢視一下使用者：

發現上面三個使用者，檢視一下檔案：

在 /var/backups 下的 mysql.bak 檔案中發現數據庫的使用者名稱密碼，檢視一下資料庫中有沒有使用者的密碼：

在 proximacentauri 庫中發現 proxima

登陸成功。並且發現一個 flag：

看一下怎麼提權到 root：

沒有 sudo，也沒有可利用的 SUID 檔案。檢視一下可執行檔案：

getcap -r / 2>/dev/null

發現個 perl 副本，嘗試提權：

/home/proxima/proximaCentauriA/perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/bash";'

成功提權到 root，檢視 flag：

完成。