首先安裝好靶機(jī)，再打開(kāi)Kali，使用ifconfig查看Kali IP信息，之后使用nmap進(jìn)行掃描網(wǎng)段：

image-20230629200225568

經(jīng)過(guò)排除主機(jī)IP和Kali IP，選擇192.168.38.139，進(jìn)行端口掃描：

image-20230629201035695

接下來(lái)看一下80端口：

在源碼中也查看不到任何信息，接下來(lái)掃描一下端口服務(wù)版本（全面系統(tǒng)檢測(cè)）：

可以看到這里允許匿名登錄，接下來(lái)登錄：

登錄成功，使用ls查看文件，發(fā)現(xiàn)和端口掃描結(jié)果一致，有個(gè)流量包，下載下來(lái)：

下載下來(lái)之后，通過(guò)wireshark進(jìn)行分析：

追蹤一個(gè)TCP流，然后根據(jù)順序在過(guò)濾器中查找，找到如下：

根據(jù)提示，訪問(wèn)網(wǎng)址路徑，下載下來(lái)這個(gè)文件，進(jìn)行分析：

可以看到這是一個(gè)ELF 32位可執(zhí)行文件，直接在IDA中進(jìn)行分析：

只打印了一句話，繼續(xù)找地址0x0856BF：

接下來(lái)就可以在目錄中找到如下信息：

maleus
ps-aux
felux
Eagle11
genphlux < -- Definitely not this one
usmc8892
blawrg
wytshadow
vis1t0r
overflow
?
Good_job_:)

完事記錄下用戶名到一個(gè)文件之后，使用hydra進(jìn)行爆破：

密碼不正確，是文件名Pass.txt,不是Good_job_:)。之后通過(guò)遠(yuǎn)程ssh連接，因?yàn)闄?quán)限問(wèn)題，在臨時(shí)目錄temp下查看uname：

Linux troll 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:12 UTC 2014 i686 i686 i686 GNU/Linux

隨后通過(guò)系統(tǒng)版本找到相對(duì)應(yīng)的漏洞，從而進(jìn)行提權(quán)操作。

選第一條，下載下來(lái)，拷貝到靶機(jī)tmp目錄下，通過(guò)gcc生成，進(jìn)而運(yùn)行，成功獲取到root權(quán)限。

這樣就獲得了flag。