信息收集

arp-scan

nmap

获取userflag

从nmap扫描的结果来看，目标主机开放了smb服务，然后ssh服务部署在了65535号端口上，先用smbmap看一下目标smb服务共享了哪些目录，以及相应的权限

smbmap -H 192.168.43.29

有一个backup目录，是只读权限的，通过mount将它挂载到本地

mount -t cifs //192.168.43.29/backup /mnt/backup

是没有设置密码的，所以直接回车就好了

有一个zip文件，将它cp出来，然后尝试解压

发现需要输出密码，这里让GPT写一个爆破脚本即可

拿到密码后去解压那个zip文件，解压后会得到一个password文件

这应该是一个用户的密码，但是现在我们不知道它是哪个用户的，这里可以通过kali中的 enum4linux 工具来枚举，这个工具能快速枚举出windows/linux上与SMB服务有关的信息

enum4linux -r 192.168.43.29
# -r：通过rid来枚举用户

这里枚举出了两个用户，上面那个password是cowboy用户的，ssh上去

并没有发现userflag，那么userflag应该是在debian用户里了，但发现这里.bash_history文件是保留的，history看一下

这个 mariadb 可以直接理解为是mysql，这里就反应了目标是起了mysql服务的，连接上去后在数据库里就可以找到debian的密码

当然这样直接输入是不行的，得先md5解密一下，可以去这个网站：https://crackstation.net/

或者直接通过 john 跑：

echo 7c6a180b36896a0a8c02787eeafb0e4c > test
john test --wordlist=/root/dict/rockyou.txt --format=raw-md5

然后su切过去，在家目录里就可以拿到userflag了

userflag：a0a5588557dea7813c3d4631d8c6371d（MD5之后）

 获取rootFlag

sudo -l 看一下

可以通过sed来提权（直接去GTFobins上找利用方案）

sudo sed -n '1e exec /bin/bash 1>&0' /etc/hosts

rootflag：2b8d10588b4d8702536df00bd7106782（MD5之后）