0x01 信息收集

去网页看看。经典好像啥都没有，所以扫一下后台：

看到bak文件，下载下来：

    //The boss told me to add one more Upper Case letter at the end of the cookie
   if(isset($_COOKIE['admin']) && $_COOKIE['admin'] == '&G6u@B6uDXMq&Ms'){

       //[+] Add if $_POST['secure'] == 'val1d'
        $valid_ext = array("pdf","php","txt");
   }
   else{

        $valid_ext = array("txt");
   }

   // Remember success upload returns 1 

根据提示上传木马。burpsuite走起：

直接爆破一手。然后在/owls可以看到上传的php文件

0x02 用户权限

不懂为啥反弹shell不行，只好蚁剑连一下：

这里可以得到用户的密码。没想到[Asterisk]是星号*的意思
然后登录用户，得到用户flag

0x03 提权

sudo -l看看提权

看看那个py文件源码

import random
import os
import subprocess

print('~ Random Cookie Generation ~')
print('[!] for security reasons we keep logs about cookie seeds.')
chars = '@#$ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefgh'

seed = input("Enter the seed : ")
random.seed = seed

cookie = ''
for c in range(20):
    cookie += random.choice(chars)

print(cookie)

cmd = "echo %s >> log.txt" % seed
subprocess.Popen(cmd, shell=True)

这个cmd明显存在代码注入。直接一个反弹shell

然后成功提权