Oopsie

需要用到的工具
    burp
    nmap
    nc
    手写代码

信息收集

由于是靶场的原因单一没有子站所以收集到ip就可以

nmap扫描

拿到IP第一件事就是扫描端口
nmap -T4 -sV -sC -sS 10.129.24.79
-T4:提升扫描速度
-sV：查看详细版本
-sC:使用默认类别的脚本进行扫描 可更换其他类别
-sS：半连接扫描
端口：22、80

先看80端口

80是网站端口
打开浏览器输入ip
经过被动扫描发现后台目录

访问后台看下

发现一个上传文件的地方
点击发现需要管理员的权限

随意点击看看

在Account下发现，用户名guest与id：2233此时灵光一现会不会跟cookie有关
F12看下cookie：发现在cookie中对应的是页面上显示的id与用户名
尝试修改id看看
发现当id等于1的时候显示了admin账户与id。。。（不愧是简单级别的靶场）
但我们的目标是getshell不是webshell

修改cookie

把刚刚获取的id与账户放进cookie尝试进入uploads（上传模块）
发现可以上传文件了

上传木马反弹权限

上传木马
枚举上传路径（工具应该可以搭配代理池）

反弹shell

访问文件反弹shell

现在访问文件反弹shell
建立半交互式shell(普通shell无法使用 su等命令)
SHELL=/bin/bash script -q /dev/null
SHELL=/bin/bash :将shell设置为/bin/bash
/bin/bash :告诉系统,其后路径所指定的程序,即是解释此脚本文件的 Shell 程序
/dev/null:被称为黑洞

进入网站根目录

cd /var/www/html
ls
查看当前目录
发现刚刚在burp被动扫描出来的登录页面，目录文件夹。

进入登录文件夹

cd /cdn-cgi/login
发现几个有趣的文件

查找密码

cat * |grep -i passw*
cat * ：进入当前目录下的所有文件内
|grep -i：查找文件并且不区分大小写
passw*：内容：passw开头的全部信息显示出来
发现一个疑似密码的东西

查看可用用户

cat /etc/passwd
这个文件里面记录着用户

尝试登录

利用刚刚得到的密码进行重要用户登录
su root
su robert

失败

再次寻找密码

重新查看文件发现一个看起来很小的文件
db.php
打开看看
cat db.php
没想到就看到了robert账户与密码

再次尝试登录robert账户

登录成功

获取一段flag

进入home/robert目录下
cd /home/robert

权限提升

测试命令
    sudo与id
sudo -l
id

查看用户组文件

查看这个组内是否有二进制文件
发现一个二进制文件

查看文件权限与类型

ls -la /usr/bin/bugtracker && file /usr/bin/bugtracker
权限是root，类型是suid（这是个有前途的利用路径）
    suid（setuid）：设置了这个不管那个用户执行这个文件都相当于root权限执行的

文件执行

发现这个文件是把用户输入的当做cat命令去执行（貌似是个快捷打开工具）
但是没有指定cat的绝对路径

写入文件并加入环境变量

查看环境变量
发现bugtracker这个文件所在的文件夹在环境变量中，说明这个脚本不会限制位置。
进入一个空文件夹：/tmp
新建cat文件：echo '/bin/sh'>cat
添加执行权限：chmod +x cmd
添加目录到环境变量：export PATH=/tmp:$PATH（如果不把这个文件夹加入环境变量就是无效的）
    export 命令用于设置或显示环境变量(说人话就是添加与删除环境变量)
    /tmp:  :/tmp是这个文件夹 : (在linux环境变量中冒号就是结尾类似windows环境变量中的;(分号)。)
开启文件。

拿到root权限

获取第二段flag

这段flag在root目录下
由于我们把cat定义为了/bin/sh所以此时cat命令是不可用的可以使用more或xxd等命令代替。