Dc-4

使用nmap扫描靶机，发现靶机开放了22端口和80端口

我们先访问一下80端口，查看有没有可以利用的地方

看到这个，直接选择密码爆破，使用burpsuite工具

只爆破密码，用户名为admin，密码字典随便选一个

成功把密码爆破出来

进入之后，发现有三个选项，我们挨个试一下

明显是一个命令执行

使用bupsuite拦截，然后使用nc反弹shell

空格就是加号

成功返回shell

使用python调用本地shell，实现交互式命令行

Python -c ‘import pty;pty.spawn(“/bin/bash”)’

查看jim用户的家目录中的backups文件夹，里面有一个密码字典

将密码字典下载下来，进行密码爆破，用户字典为home目录中的那几个用户

使用九头蛇进行爆破

成功把jim用户的密码爆破出来

登录进来之后，发现jim用户并没有sudo权限，我们查看一下邮箱mail文件/var/spool/mail

成功获取到了charles用户的密码

切换charles用户，查看这个用户的权限

看到这个用户可以执行teehee命令，浏览器可以搜索到teehee提权方法

按照上面命令，成功提权

在root目录获取flag