第一步是要猜出来目录fristi：

然后看源码得到用户名密码，然后上传一句话木马：

然后其实可以直接脏牛提权了：
https://github.com/FireFart/d...
但是作者做了诸多布置，还是探索一下，不然岂不辜负良苦用心：


根据提示我们创建runthis文件：

这样就弹回了shell：

看到有py文件和两个看似密文的文件，加密代码如下：

根据加密代码写的解密代码如下：

解出来密文是：thisisalsopw123和LetThereBeFristi!
试一下登录第三个用户，密码是LetThereBeFristi!。这里遇到一个坑点，看了writeup才知道，那就是su xxx和su - xxx的区别。先说之后的操作，su - 登录第三个用户后看.bash_history文件：

看sudo -l：

所以就模仿着写命令如下：

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash

就得到root权限了。
注：拿到任何shell都先执行python -c 'import pty;pty.spawn("/bin/bash")'这条命令。
最后记录一下su - xxx和su xxx的区别。
su命令和su -命令最大的本质区别就是：前者只是切换了root身份，但Shell环境仍然是普通用户的Shell；而后者连用户和Shell环境一起切换成root身份了。只有切换了Shell环境才不会出现PATH环境变量错误。su切换成root用户以后，pwd一下，发现工作目录仍然是普通用户的工作目录；而用su -命令切换以后，工作目录变成root的工作目录了。用echo $PATH命令看一下su和su -以后的环境变量有何不同。以此类推，要从当前用户切换到其它用户也一样，应该使用su -命令。
所以如果是su切成第三个用户是看不到.bash_history文件的。