靶机：DC-4 192.168.56.105

攻击机：kali 192.168.56.1

探索靶机

**用户

根据登录页面，主要是登录admin用户，我们使用burp**。

发现happy过后的密码都能成功登录，估计是服务器验证登录成功后，会记录用户的Cookie，后面每次登录只认证用户的Cookie。

发现命令执行漏洞，获取shell

登录上去

获取命令执行的权利

虽然只能执行这么三条固定命令，但是我们通过burp修改提交的参数

发现这里存在命令执行漏洞

我们使用nc，让服务器反弹个shell

注意kali要先监听

使用script /dec/null获取交互式shell

收集系统信息

查看当前可以用root执行的命令，想直接提权

发现sudo需要密码，我们只用重新连接了。并且转换思路，收集一下信息。

使用cat /etc/passed，找到当前存在三个其它用户

先区jim家去目录下看看

查看这几个文件

只发现backups目录下存在有用信息

把字典copy下来保存为字典，然后放到目录下，使用hydra来**jim的ssh密码

**了很久，终于找到了密码。（这不是老密码吗，还能成功哈哈哈）

其它两个用户我也有去过，一个没有权限，一个用户目录为空

我们就直接ssh连上jim吧。

看下jim能提权吗

查看下刚刚没有权限看的mbox

来自root用户的邮件的意思

那我们去/var/mail看看

好家伙，charles出去玩把密码给jim了，我们使用这个密码登录进charles用户

提权

看看他能不能通过suid提权

发现charles用户竟然可以使用teehee命令

我们使用这个命令修改/etc/passwd,添加一个无密码的root级别的用户

切换到新用户拿到root权限

拿到flag

查看root目录下的flag