nmap

第一次没有进行全端口扫描，只发现了79和111端口，79端口运行着finger程序，111则是rpcbind。

重新扫描一次，这次针对全部端口进行扫描。

nmap -p- -oA nmap 10.10.10.76

然后在扫描端口详细信息

可以发现22022端口运行着ssh服务，我们可以利用finger收集用户信息，然后执行暴力破解，获得用户名密码后登陆系统

finger

在这里将介绍两种利用finger收集用户的方法

nmap

Finger是一个可以用来查找计算机用户信息的程序。它通常会列出登录名、全名，可能还会列出关于所指用户的其他详细信息。

根据下面两行指令，可以对用户进行枚举。

可以看到当前并没有用户登录

根据之前nmap的扫描结果可以得知有两个用户存在，一个是sunny，另一个是sammy，我们可以利用另一条指令来获取用户信息

也可以尝试获取一个不存在用户名的信息

因此，我们可以得知ssh登录的两个用户，然后使用暴力破解登录即可

pentestmonkey/finger-user-enum

使用这个脚本也可以获取相关用户名，脚本需自行下载

ssh暴力破解

使用hydra针对用户名进行暴力破解，因为ssh服务对应的端口为22022，需要特别指定

hydra -L name.txt -P pass.txt ssh://10.10.10.76:22022

已经知道用户名和密码，即可直接登录了

登陆成功即可获取user的flag了

sunny→sammy

通过检查sudo -l发现可以不需要密码以root身份运行troll文件

尝试执行该文件，却发现并没有什么作用

又发现了backup路径

发现用户名密码hash

将其保存到文件hash中，然后准备使用hashcat进行爆破，先在网站example_hashes [hashcat wiki]中找到类似的hash值，看起来类似于这个

因此尝试使用7400模式进行爆破，最终获得sammy的密码

切换至用户sammy并检查sudo -l

看到可以不用密码以root权限使用wget。按照惯性，root权限的flag应该保存在/root/root.txt中，尝试利用wget的-i选项来获取flag，正常情况下，我们使用-i是为了从文件中获取url，但是当我们请求/root/root.txt文件时，其中不存在url，他将报错并在报错内容中附带flag信息

执行指令，即可获取flag

提权至root

以root权限执行以下sh文件，则会获得一个root权限的shell

sammy用户不需要密码可以使用root权限执行wget

sunny用户不需要密码可以使用root权限执行troll

编写一个troll文件，内容如上文中sh文件中的内容，以sammy身份下载覆盖至troll文件，然后以sunny身份运行troll，则可以获得root权限的shell

在kali中准备troll文件，并开启简易http服务

然后在sammy用户中使用wget下载troll并覆盖到/roo/troll，然后立即在sunny用户中运行troll（每隔很短的时间troll会被强制重写，所以下手要快，我在前面添加了sleep 5，增加反应时间）

最终结果如下，得到root权限

over！