Victim：
运行靶机

获取靶机IP地址为192.168.1.36
也可以打开kali进行IP地址扫描通过MAC地址进行判断IP地址

获取IP地址之后进行端口扫描
nmap 192.168.1.36

通过扫描结果得知 80和8080和9000三个端口开启并且可以访问
访问80端口

访问8080端口

访问9000端口

这三个端口访问之后并没有得到有用的信息怀疑有其他端口存在扩大扫描范围继续扫描端口
nmap 192.168.1.36 -p 0-65535

通过这次扫描发现多了一个8999的端口并且也允许访问
访问8999端口

访问之后发现有一个后缀为cap的流量包可以下载，下载之后使用Wireshark打开

打开之后看到有手机访问，所以可能是一个路由器无线流量包
可以使用aircrack进行破解密码本使用rockyou.txt

aircrack-ng -w /usr/share/wordlists/rockyou.txt WPA-01.cap

破解之后发现密码是p4ssword

刚刚Wireshark发现SSID是dlink也就是说无线名叫dlink
尝试使用 ssh -l dlink 192.168.1.36 进行登录

可以登录成功
使用 cat /etc/passwd | grep /bin/bash 查看用户

发现有四个用户
尝试使用sudo -l 提权 失败

使用 find / -user root -perm -4000 -print 2>/dev/null 命令查USID

使用工具gtfo进行查看
测试pppd没有任何结果

测试nohup有结果

复制suid里面的内容尝试提权

结果回显没有这个目录
去掉前面的./试一下

成功提权到root 切换到root目录下寻找flag

成功找到flag