1.NMAP扫描子网

老套路先namp，发现22和80端口。

2.查看80端口web页面

用了nginx，但是没找到可以利用的漏洞，各种尝试都不行，除了用户名admin也没有任何提示，最后觉得可能是**，因为不喜欢**加上需要很多时间，查了查大佬的攻略，直接copy密码登陆

3.登陆后web页面利用

发现可以执行命令，用burpsuit修改post数据

根目录没有内容，可以查看passwd有charles、sam、jim、root用户等，然后

权限可以查看charles，sam，jim的home目录，但root目录没有权限，发现jim的家目录里有一份密码的备份文件，保存到本地

4.使用hydra**ssh

web能获取到的信息已经差不多没了，然后还有ssh服务，已知charles，sam，jim三个用户名，和刚刚拿到的一个密码字典，使用hydra**ssh

5.进行提权

**出jim的密码，ssh一下看看，之前jim的home目录下有一个权限不够的mbox看一看
发现是一个邮件格式，邮件内容在/var/mail里，发现charles密码
jim用户就没有其它有价值的内容了，切换到charles,sudo -l 发现可以用teehee命令
查看帮助，teehee可以拼接文件

根据passwd里的用户名格式，新建一个具有root权限的用户，使用teehee拼接

然后切换到用户dc4，进入root目录就可以cat flag了