一、信息收集

1、主机探测

arp-scan -l netdiscover -i eth0 -r 192.168.33.0/24 nmap -sP 192.168.66.0/24

2、端口扫描

nmap -sS -sV 192.168.66.141

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))

这里两个端口，我们看看80端口，后台扫一下目录

3、目录扫描

dirsearch -u http://192.168.66.141:80/ -e * -i 200 dirb http://192.168.66.141

Ⅰ、80端口访问，寻找注入点

这个一眼wp，这个页面没啥东西的

这里尝试爆破是失败了，我们这里换方向了

cap是抓包产生的文件，我们丢到wireshark或者二进制文件可以得到一些信息

这里找到了账户密码，我们看看这是什么加密 webdeveloper Te5eQg%264sBS%21Yr%24%29wf%25%28DcAd 这里是一个url解码

进来了，对编码有点不敏感，最近靶机打的太少了，因该多补补，为什么说我很熟悉wp呢，因为我的博客也是wp搭建的

Ⅱ、弹shell

这里来一条shell，这里有个小坑，就是前文已经给了闭合符号记得删除闭合符号即可 还有一件事就是这里不要乱点更新，因为插入php代码再新版本已经删除了，不要乱点！

这里要注意很多细节，我们在主题添加的反弹shell，然后访问一下index.php就能反弹到，很多小问题只能自己操作时才能感受到

Ⅲ、内网信息收集

先看看内核、root权限文件啥的，先收集收集信息

$ uname -a

Linux webdeveloper 4.15.0-38-generic #41-Ubuntu SMP Wed Oct 10 10:59:38 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 这个内核很老的版本了，看看有没有简单的提权方式

这里有很多root权限文件，可以尝试尝试find命令提权 find / -name index.php -exec "/bin/sh" ; 做到这里我还有一个信息漏掉了，22端口，还没尝试这个端口是干嘛的 这里还是找配置文件 这里爆除了数据库文件

Ⅲ、数据库登录

webdeveloper MasterOfTheUniverse

Ⅳ、sudo提权

这里直接在提权网站看一看，有个这东西，我们尝试提权

提权成功，但是我没有安装自己的方式去提权，等后面有时间会把这个坑补上，但也加深了这个提权的方式