1.确认目标

使用nmap命令

nmp -sP 192.168.80.0/24

搜索到之后对网段进行详细的扫描

nmap -sS  -p- -A -sV

2.信息搜集

暴露出来的端口有

21（ftp）匿名登录

22（ssh）远程登陆

80（http）http服务

查看80端口初始网址

大概意思是网站被入侵了，留下了作者的名字，

这两个名字猜测可能是ssh登录用户（这么嚣张在网志页面进行宣告，肯定进去搞了点什么）

使用命令对80端口进行爆破，后台扫描

gobuster dir -u http://192.168.80.144 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt

只得到了一个robots.txt页面

到网站进行查看

得到新网址，进一步进行信息搜集

翻译说这个网站包含ssh密码，但是当时查了好久才知道这是个兔子洞，没有任何信息

进入另一个网址

发现没有信息

换另一个思路

对21端口进行匿名访问

匿名登陆之后

dir

发现一个压缩包使用get命令进行下载

发现被加密了

压缩包爆破

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

得到密码进行查看

页面找不到，而且又给了关键词，可能是页面被隐藏了，可能存在文件包含漏洞

https://blog.csdn.net/m0_46467017/article/details/126380415?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522170589324716800188587035%2522%252C%2522scm%2522%253A%252220140713.130102334..%2522%257D&request_id=170589324716800188587035&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduend~default-1-126380415-null-null.142^v99^pc_search_result_base3&utm_term=%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E6%BC%8F%E6%B4%9E%E5%85%A8%E9%9D%A2%E8%AF%A6%E8%A7%A3&spm=1018.2226.3001.4187

构造网址

http://192.168.80.144/?drip=/etc/dripispowerful.html

查看源代码

得到密码

账号密码可能存在/etc/passwd为后缀的网址中

账号 thugger

密码 imdrippinbiatch

3.寻找漏洞

ssh登陆之后进行尝试，登陆人员没有特殊权限

查看具有suid权限的文件

find / -perm -u=s 2>/dev/null

Polkit权限提升

Polkit是一个应用程序级别的工具集，通过定义和审核权限规则，实现不同优先级进程间的通讯：控制决策集中在统一的框架之中，决定低优先级进程是否有权访问高优先级进程。 pkexec是一个Linux下Polkit里的setuid工具，允许授权用户在预定的策略下以其他用户身份执行命令。

pkexec允许授权用户以另一个用户身份执行程序。如果未指定用户名，则程序将以管理超级用户root身份执行。

4.提权