主机发现

sudo arp-scan -l

以sudo超级管理员权限运行arp-scan 扫描整个局域网

-l扫描本地网络的所有网段

发现靶机ip：192.168.91.208

nmap对靶机进行端口扫描发现22和80端口

22：进行ssh远程登录的开放端口

80：超文本传输协议的web服务端口

进入网页发现home按钮和about US按钮并没有什么用，只有一个登录页面login,对于网页的描述信息大致就是说，这是一家的顶尖的科研机构，致力于研究生物科学技术，并邀请我们加入，从文本的大致内容上并没有获取什么有用的信息。

目录爆破

sudo gobuster dir -u http://192.168.91.208 -x html,txt,php,bak,zip -wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

gobuster：是一种常用的对目录或文件暴力破解的工具

dir ：对目录进行枚举

-u:指定对应靶机的url

-x:指定搜索目录的html文件,txt文本文件，php文件以及bak备份文件和zip压缩文件

-w:指定使用字典的文件路径

信息收集

目录爆破扫描出了三个网页路径

img文件是第一个网页的图片

login是登录界面

第三个joinus是一个pup的网页文件，里面有两个按钮，第一个里面有一个pdf文件，第二个按钮未开发，没什么用

点开这个链接

文档里面的大致信息就是对自己实验室的描述，然后他给你发了一个登录的账户和密码网址链接，刚开始我没仔细看，以为i直接复制链接打开就行了，我在这上面想了半天，结果是刚开始的那个登录页面的账户和密码.......把里面的密码取出来就行了，直接复制的时候中间会带有一个换行符，自己删掉再粘贴。

?user=admin&password=d46df
8e6a5627debf930f7b5c8f3b083

sqlmap注入

登录进去发现是这样的页面，可以试一下sql注入，查看一下网页元素，寻找到cookie值，拿到之后我们sqlmap跑一下

以sudo权限运行sqlmap 指定cookie值 -u 指定整个网页的url --batch 自动接受所有默认选项和建议。

查询到了数据库是mysql,那就继续，--dbs是databases查询数据库

查询到了两个库，一个系统库，一个以靶机名命名的库，直接继续深入

-D 指定数据库，--tables 查询库中的表

--columns查询表信息及结构

-c指定表中的字段，--dump查询指定字段中的信息

MD5加密

sqlmap的过程中也是直接把字段中的MD5加密解了，发现了重复的用户名和密码，用其中一个就行。

红框标注的文件也是这个表的字段信息，cat一下查看也是一样的

也可以用awk来分别提取信息查看，-F 指定以逗号分隔字段，print $2打印第二个字段

ssh登录刚才的用户名和解密的密码。sudo -l 查看可执行权限，发现可以使用awk

提权

sudo -u以这个用户的身份执行这个shell命令

发现了一个user.txt文件，cat查看一下发现了flag

进入autoScripts目录发现PMEmployees有root权限，可以放到ida反编译看看,可以利用这个文件积进行root提权，还有一种方法就是修改环境变量来root

cd 进入root目录下发现flag