0x01

扫描内网

扫描端口

0x02

打开网页,提示本地浏览,f12给xxf提示,直接抓包

出现回显,进到登录界面,刚开始还爆破admin密码来着,然后连忙注册了个admin,竟然能注册,那不是弱口令了.
登录看到4个选项.当选到profile的时候,url可疑

118.202.10.87/index.php?page=profile&user_id=4

修改为1可以看到别的用户名和密码
然后一个一个试ssh,发现alice可用,直接登录

0x03

接着就尝试提权.suid

不太会用这些文件来提权
sudo -l

发现可以无密码使用php.
直接写个shell


进行sudo /usr/bin/php ./shell.php直接提权
在/root获取flag2

然后找半天flag1.还以为在mysql里面,结果就存了用户名和密码,只好去翻wp,结果人家登录alice就送flag1,估计是靶机问题,在alice下啥都没有,wp的方法是用mysql提权,因为html目录下有mysql配置,给了root的密码,直接登录就行.