1.信息收集

输入arp-scan 192.168.239.0/24进行主机存活探测，可以看到192.168.239.171主机存活。

对192.168.239.171主机进行端口扫描，可以看到20、21、22、82、110、443、5781、8080。

发现21端口可以匿名登录，输入：anonymous，登录成功，ls发现存在目录maintenance。

进入maintenance目录，发现存在三个文件，使用get命令下载文件。

查看三个txt文件内容，cGluZyBwb25n进行base64解密可得ping pong。没有发现可用的信息。


进行目录扫描，发现存在/website，/robots.txt，/phpmyadmin


访问http://192.168.239.171/phpmyadmin/，发现是phpmyadmin，尝试绕口令失败。

访问http://192.168.239.171/website/，查看源码发现是CMS ColdFusion。


上网查阅到 ColdFusion 发现是以 /CFIDE 目录开头的，发现有Administrator文件夹，点进去后发现空白。


使用dirb进行目录扫描，发现登录页面


尝试登录页面是否有sql注入。输入：admin’ or 1=1#\123456，登录成功


使用BP抓包，并保存到post.txt中，输入sqlmap -r post.txt --random-agent --batch --flush-session --level 2 --risk 3 --dbs，可以查看到数据库

输入sqlmap -r post.txt --random-agent --batch --flush-session --level 2 --risk 3 -D clover -T users -C "username,password" --dump，可以看到用户名和密码。(查看指定行的数据可以加入–start 1 --stop 2查看1到2行的数据)



对asta用胡的md5值进行解密，可得密码为：asta$$123。

https://md5online.it/index.lm

利用ssh进行登录，登录成功。

发现目标主机上不能使用wget、curl，使用scp上传成功。


运行linpeas.sh，发现存在/var/backups/reminder/passwd.sword，查看内容发现sword得密码，但后四位不知道，只知道是数字。

使用crunch生成密码字典，crunch 12 12 0123456789 -t P4SsW0rD@@@@ -o /tmp/passwd.txt

使用hydra进行爆破，得出密码为：P4SsW0rD4286，并登录成功。

发现存在SUID提权。

运行deamon.sh，发现是Lua。

在二进制提权网站，发现Lua提权。

输入 os.execute(‘/bin/sh’)，成功提权为root用户