环境

靶机ip：未知

攻击机kali：ip1:192.168.96.59 ip2:192.168.56.103

主机探测

arp-scan -l

发现了56.104这个机子应该就是我们的靶机，接下来先对其进行端口扫描

端口扫描

发现开放了80端口，但是22端口状态显示为filtered，不知道开放还是关闭

访问80端口，发现是wallos的管理系统

使用弱口令admin/admin爆破后登录

1.11.0的版本存在文件上传的漏洞

跟着教程成功拿到反弹shell

这里我们使用kali自带的反弹shell

成功拿到shell

将shell升级成完全式方便管理

/usr/bin/script -qc /bin/bash /dev/null

提权

sudo -l该命令将会显示当前用户的权限情况

发现该用户的权限真的很神奇，只能说一般不会遇到这种问题

成功拿到权限root

但是发现/root目录下并没有有关root的flag

看了大佬的博客明白其实这个靶机刚进去只是一个linux中的容器，类似于我们熟悉的docker

想要拿到真正的root用户的flag，需要先逃逸出容器

科普：linux容器是与系统其他部分隔离开的一个或一组进程。运行这些进程所需的所有文件都由另一个特定镜像提供，意味着从开发到测试再到生产整个过程中，Linux 容器都是可移植且一致的。

上传fscan工具扫描内网，找到了10.0.3.1这台机子，这台应该就是我们需要的机子的局域网ip

 发送ping包验证

尝试ssh连接

一般使用nc连接会回显ssh这一串东西

但本靶机上没有

发现可以连接但是没有回显，应该是包被过滤了，之前nmap扫描出来的结果显示filtered，与之对应

这里需要绕过防火墙进行ssh的连接，linux中的iptables链对ipv6是没有限制的，所以思路是采用ipv6代替ipv4来进行ssh连接

但一直找不到正确的ipv6地址，感到很奇怪！之后也就没有往下做下去了！

参考

https://blog.csdn.net/tanbinn/article/details/139784974

https://juejin.cn/post/6844903976534540296（docker0的网络原理）