一、准备工作

kali和靶机都选择NAT模式（kali与靶机同网段）

1.靶场环境

下载链接:https://download.vulnhub.com/dc/DC-9.zip

2.kali的ip

命令:ifconfig

3.靶机的ip

扫描靶机ip

二、信息收集

1.nmap的信息收集

（1）扫描靶机开放的端口及其服务

2.网站的信息收集

（1）靶机开放了80端口,先访问靶机网站看看有什么有用的信息

（2）使用sqlmap命令

它存在一个表单，在这里就很有可能存在着注入漏洞，所以我们先尝试着用sqlmap跑一下：

查询数据库名

查询users数据库下面的表名

获取userDetails字段名获取员工的账号密码

这里是那些员工这账号和密码，后面可能会用到，先放着，然后再回过来爆另一个Staff数据库看看会有什么东西：

尝试用得到的用户密码登录

注意：File does not exist 这句话它说文件不存在

三、枚举

1.看看本地文件是否存在文件包含漏洞

访问：http://192.168.101.122/manage.php?file=../../../../../../../../etc/passwd

2.查看ssh配置文件knockd.conf

访问：http://192.168.101.122/manage.php?file=../../../../../../../../etc/knockd.conf

发现ssh 自定义的端口号

四、ssh连接

1.知道端口号后，然后进行敲门，

2.使用nmap命令查看靶机ssh访服务是否能够正常运行

3.ssh开启了，但需要账号密码，把之前爆破的员工账号密码分别写入两个字典

4.hydra字典爆破

（1）通过ssh爆破

（2）得到了两个用户密码，其中有个是管理员，先用janitor用户登录

（3）在.secrets-for-putin，发现密码字典，将收集到的密码放入刚才的password文件里面

（4）在kali再一次使用hydra爆破

（5）用fredf用户进行ssh登录

五、提权

1.查看当前用户可以执行的操作

2.查看/opt/devstuff目录下的test.py

如上图可知进入 /opt/devstuff/dist/test/test不需要密码，进入该目录下查看

test.py是一个python脚本。它既然拥有root权限，那现在我们要做的就是构造一个拥有root权限的用户，并且在/etc/passwd文件中储存，只要使用这个用户登录后，就可以获取到root权限。

3.在kali使用openssl工具先创建一个本地的加密用户

4.提权

在靶机/opt/devstuff/dist/test目录下面创建一个叫swn的文件（随便命名） 再使用sudo用那个test程序来运行这个文件，随后切换成我们添加的这个用户，输入自己设定的密码就可以成功提权到root用户了，最后进入root目录下查看flag即可。