信息收集

首先找到靶机对应的ip地址，用nmap先进行扫描，发现22与80端口开放的，利用方式可能是要用到webshell和ssh，暂时不需要用masscan进行扫描，通过对cms的识别发现无果，页面只有一个登陆，第一想到的是sql注入和web的弱口令。利用sqlmap自动跑一遍后发现没有什么注入的地方，推测使用爆破。

webshell权限获取

通过hydra可视化 工具对该地址进行一个用户名密码的爆破，对于靶机而言一般用户名密码都蛮简单的，在真实的渗透过程中还是需要尽量避免大规模爆破行为。使用/usr/share/wordlists/rockyou.txt 文件进行密码爆破，没有这个文件的可以看一下是否解压缩。

image-20200619230520599.png

对于这种靶机的密码而言都会蛮简单的，一般都很快就可以拿到。

登录后台，发现有system command，可以执行简单的命令，抓包看一下是否能修改命令。

image-20200619230832901.png

更改命令后查看返回包

image-20200619230903508.png

任意代码执行拿到webshell了。

image-20200619231230673.png

image-20200619231242282.png

看了下可以使用python3，用DC-1的方法去修改交互方法，在/home路径下发下三个用户，在jim用户的文件夹中发现有密码内容，怀疑可能是ssh的登录密码。

image-20200619232005898.png

获取普通用户权限

去把密码拿下来然后对ssh进行一次爆破

image-20200619233419642.png

获取到用户权限后，查看发现jim没有sodo权限。查看test.sh,可能是再说让我们学习bash命令？

image-20200619234218612.png

查看mbox文件，发现是一封邮件，但是是一封测试邮件，去学习linux中的mail命令。

image-20200619234318918.png

再继续去翻找，发现/var/mail/文件夹中有一封邮件是来自Charles的，说他要出去玩，把密码留下来了。

用她的密码去ssh上去。

image-20200619235254431.png

利用sudo -l 去查看是否能提权的时候，发现了teehee命令可以提权，去之前GTFOBINS这个网站去查看是否有提权的办法，具体请参考DC-2的解析。

image-20200619235552932.png

发现没有这个命令，但是有一个tee命令和他很像。。。于是用--help的方法确定他俩基本就是一个。

image-20200620000142417.png

可以用这个方法去朝任意文件去写入数据，我朝着/etc/passwd用户中写入了几个用户，在提升su权限的时候出现错误。

image-20200620001658926.png

去查看大佬的文章，发现了一种新的方法，是将命令写入定时任务中，但是也没有成功，可能是定时任务没有执行。

去重新查看第三种方法，将jim用户写入拥有sudo 的所有权限。

image-20200620002912799.png

image-20200620002952187.png