Road

首先进行端口扫描22 80

使用nmap进行vuln

nmap -sS --script=vuln 10.10.236.244

10.10.236.244/v2/admin/login.html

随便注册一个账号

查看

可以知道管理员邮箱：admin@sky.thm，并且上传文件只有管理员可以访问此功能

通过Users->ReseUser 重置用户密码，抓包修改邮箱达到->越权操作

登录用户，并且在文件上传的源码处发现了上传路径

本地监听

访问：10.10.236.244/v2/profileimages/phpshell.php

可得到shell，可查看user.txt

然后提权，我通过上传linpeas_linux_amd64，找到了可利用的PwnKit

通过GitHub找到poc

然后即可

虽然最后拿到了root权限，但是很明显这违背了出题者的意愿，最后也是参考的其他师傅wp

通过MongoDB，获取普通用户的凭据，进而通过利用LD_Reload
提权
https://whitecr0wz.github.io/posts/LD_PRELOAD/