下载靶机，可以看到靶机地址

在kali上扫描靶机的端口和目录文件

访问：http://192.168.247.146/test.php，他提示我们参数缺失

我们爆破一下他的参数

使用kali自带的fuzz

FUZZ就是插入参数的位置
-w 指定字典文件

wfuzz -u "http://192.168.247.146/test.php?FUZZ" -w /root/Desktop/1.txt  

可以自己找一个字典

尝试给参数/etc/passwd，发现正常回显了，是一个文件包含的漏洞.

我们在这里尝试利用文件包含来把qiu的ssh私钥显示出来使用

"curl http://192.168.247.146/test.php?file=/home/qiu/.ssh/id_rsa > id_rsa"

命令来导出这个私钥文件，并且用cat查看一下这个文件，防止出现错误

出于openssh的安全性，密钥文件权限需要给600才能够正常使用，所有我们给他提权

chmod 600 id_rsa

我们跟着使用这个私钥登录qiu用户

我们进来之后，用查看一下.bash_history历史记录文件

发现了一个密码"remarkablyawesomE"

我们用"sudo -l"看一下权限

发现密码正确，并且拥有全部的sudo权限

那么我们就可以用"sudo su"命令提权了如下图。

我们再查看flag文件即可，该靶机就已经完成了。