Vulnhub-cengbox2

靶机IP：192.168.1.8

攻击机IP：192.168.1.5

1、扫描靶机查看开放端口及服务，21、22、80端口

2、访问80端口没发现有用的信息

3、匿名登陆ftp找打一个txt文件，提示中有一个站点被移动到了ceng-company.vm域名上，设置hosts文件然后可访问（linux和windows都绑定）

4、域名绑定后进行子域名扫描，找到admin.ceng-compang.vm，但是访问为403

5、对子域名进行目录扫描，找到gila目录，后台路径为admin

6、登录名是邮箱，之前发现的note.txt，用户名可猜测为kevin@ceng-company.vm，密码是admin默认密码。

7、content模块里面file manager功能可以上传文件，但是在网站根目录下上传文件没有反应

8、其中有一个tmp文件夹，可以上传反弹shell脚本，不过.htaccess文件做了限制，将其内容删除即可。

9、开启监听，并访问shell脚本，反弹shell成功

10、执行sudo -l命令，查看sudo使用的权限，发现无密码使用swartz身份执行/home/sezrtz/runphp.sh

11、提权到swartz

12、在home目录下发现了另一个用户文件夹，mitnick用户里有个.ssh文件夹，里面有个id_rsa文件，可以放到本地进行破解保存密码，然后使用该私钥进行登录

13、解密私钥，将私钥文件转化成John能识别的文件

使用john破解保存密码

14、使用私钥登录，家目录中user.txt是第一个flag

15、查找提权可以利用的文件，/etc/update-motd.d文件夹下的脚本会在用户通过ssh登录时自动运行，并且是以root的身份运行，作用就是在登录之后显示欢迎等消息。

16、有写权限，直接就将反弹shell的一句话写入到其目录下的一个脚本文件中

17、开启监听，退出ssh重新连接，反弹shell成功，查看家目录下的root.txt文件，拿到最后的flag