启程：

开始扫描端口服务，发现什么都没有，果断进行下一步目录扫描

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 98:4e:5d:e1:e6:97:29:6f:d9:e0:d4:82:a8:f6:4f:3f (RSA)
|   256 57:23:57:1f:fd:77:06:be:25:66:61:14:6d:ae:5e:98 (ECDSA)
|_  256 c7:9b:aa:d5:a6:33:35:91:34:1e:ef:cf:61:a8:30:1c (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

 有人想知道什么时候进行目录扫描，什么时候可以暂时忽略，或者说降低目录扫描的优先级，那么我总结出的结论是看你第一页面的功能点是否足以达到rce，如果不行你肯定得扩大攻击面，这个时候就可以开扫了，打什么靶场的时候都可以问自己一句

因为80端口什么都没有，所以选择目录扫描最后经过筛选看到一个登录页面，果断尝试offsec最喜欢的admin/admin尝试登录（这里我建议大家每遇见一个登录口都可以尝试一下，巨好用）

然后也是成功进入页面，这个时候我们还暂时不知道该如何做，只能看看有什么功能点可以利用

然后我们对已成功登录的页面继续扫描，结果发现一个changlog文件，这个文件我们之前也都遇见过，这个最大的作用就是告诉你版本号

进去之后看到了他最后一次更新的版本是2.1.15，这下子我们就可以更加轻松得到exp，如果没版本号就可能得多试几个exp

然后根据版本很轻松发现它存在一个文件上传漏洞，但是没找到利用exp

只能自己上了，先上一个simple-backdoor试试水

发现访问目录之后可以直接执行！！！

那么果断上我们的反弹马子，然后填好我们的攻击IP，直接传

然后我们也是非常非常顺利的拿下了第一个入口shell

然后linpeas啥的，包括找可执行文件啥都没有，但是我们看到home底下有个dora用户，尝试找一下看能不能找到他的密码（其实打到这时候根本没想到还能这么玩，因为linpeas啥密码都没爆出来差点就放弃了）

find / -type f -name ".*" -exec ls -l {} \; 2>/dev/null  | grep  -v "dora"

 这里不用说吧，肯定看php文件呀，谁家好人去看.htaccess

 然后这里我们也是得到了一个dora的hash

 果断抛给john让他破解去，不待再去确认他的加密类型了，直接让jonh破解了

 我们拿着john破解出的密码直接尝试横向一下，也是成功获得新的权限

继续拿linpeas看看在新的权限下有啥好玩的，我们发现自己在disk组中，但是好巧不巧，我连这个提权的方法是一点没接触过，是我感觉比较新的提权手法

然后上网查了一下，发现可以通过我这种逃脱有限的shell，会独立出一个新的高权限shell，在这个shell界面我们可以查看我们想看的文件

debugfs /dev/mapper/ubuntu--vg-ubuntu--lv

 这里也是成功看到了我们的目标文件

总结：

我觉得是不难的主要是这种提权手法我没见过，所以感觉可以发出来大家学习一下，后面没有什么好的提权的靶场或者过于简单的我都不会发了，只会发我觉得难度高的和新奇思路的

链接分享：

Disk group privilege escalation | VK9 Security

GitHub - openwall/john: John the Ripper jumbo - advanced offline password cracker, which supports hundreds of hash and cipher types, and runs on many operating systems, CPUs, GPUs, and even some FPGAs