0x01 信息收集

nmap只扫到了80端口，有点奇怪。打开网页看看
f12可以看到名字和提示：

需要端口碰撞才能打开别的端口：靶机-简单谈一下端口碰撞技术 (Port Knocking)
然后dirsearch扫一下：

先看看/backup

拿到字典，估计是爆破jubiscleudo用户的。现在需要知道端口。
config.php没啥有用东西，看看/config
得到1.txt，然后base64解码得到10000
看看/css
得到2.txt，brainfuck解码得到4444
/js没有啥信息，robots.txt告诉我们有/config，最后看一下login.php
f12看到源码：

?php
include('config.php');

$usuario = $_POST['user'];
$senha = $_POST['pass'];

$query = " SELECT * FROM usuarios WHERE user = '{$usuario}' and pass = '{$senha}'";  

$result = mysqli_query($conexao, $query);

$row = mysqli_num_rows($result);

#validação conta
if($row == 1) {
    $_SESSION['usuario'] = $usuario;
    header('Location: 3.jpg');
    exit();
} else {
    $_SESSION['nao_autenticado'] = true;
    header('Location: login_page/login.html');
    exit();
}

去看看3.jpg。直接下载下来，估计是隐写，执行命令steghide extract -sf 3.jpg
生成一个txt，然后得到65535端口

0x02 用户权限获取

然后开始端口碰撞。knock 118.202.10.173 10000 4444 65535
重新进行nmap扫，就能看到22端口开放。
然后进行密码爆破，字典是上面拿到的字典：
hydra -l jubiscleudo -P /home/maxzed/下载/test.txt 118.202.10.173 ssh
得到用户密码，然后ssh连上。

本来有个用户flag，不知道为啥我下载的靶机一个flag都没有。
想办法提权。然后发现不能用sudo，也没有suid文件可利用。于是重新进行信息收集。
发现还有另外一个用户：hackable_3。想办法切换用户。
去到/var/www/html里面看看有啥。

发现一个隐藏文件，打开看到数据库名称密码

然后直接切换用户

0x03 提权

和之前的用户一样，没有sudo也没有suid文件可以利用。寄了

这个用户属于lxd用户组。lxd用户组提权方法：
lxd/lxc Group - Privilege escalation
Privilege Escalation via lxd
具体操作根据这个wp：Hackable III Walkthrough – Vulnhub
由于之前操作忘记截图，给个成功的截图XD：

我在下载lxd的时候出了问题，可以根据：go dial tcp 216.58.200.49:443: i/o timeout问题解决-proxy设置解决