前期準備：

靶機地址：https://www.vulnhub.com/entry/wayne-manor-1,681/

kali攻擊機ip：192.168.11.128
靶機ip：192.168.11.137

一、資訊收集

1. 使用nmap對目標靶機進行掃描

發現開了21（filtered）、22和80埠。

2. 80埠

掃一下目錄：

什麼也沒有，然後我想起在靶機頁面說要新增域名：

新增域名後訪問域名：

檢視頁面資訊：

是FTP的埠敲門，依次敲300，350，400：

ftp 埠已在開啟狀態，訪問 ftp：

檢視 info.txt：

發現一組使用者名稱和密碼：

USER: bruce
PASS: alfred_help_me (Hahahahahaha)

嘗試 ssh 登入：

失敗，那應該是別的密碼，應該是網站的，再掃一下目錄：

掃出來不少東西，發現個 /admin 登陸介面：

用上面的使用者名稱密碼登入一下：

登陸成功。

二、漏洞利用

簡單看了一下，沒發現能修改或增加反彈shell的地方，那就查一下 Batflat 1.3.5 有什麼漏洞：

發現有個 RCE 漏洞，把 php/webapps/49573.py 複製一下：

檢視使用方法：

nc 連結成功，升級一下 shell。

三、提權

檢視檔案也沒發現什麼：

檢視SUID二進位制檔案、linpeas.sh都沒發現什麼可利用的，跑 pspy 時發現有個可疑的定時任務：

檢視一下 script.sh：

此指令碼是到 /var/www/html 目錄下並且所有檔案壓縮到 /tmp/web.tar.gz 中的檔案，之前也遇到過 tar 壓縮提權漏洞：

等了一會後nc連線上了，升級一下shell，檢視使用者的 flag：

檢視使用者許可權：

發現以 root 身份執行 /usr/sbin/service，查一下 gtfobins：

可以提權到root：

得到了 root，檢視 flag：

完成。