环境准备

靶机链接：百度网盘 请输入提取码

提取码：1qcc

虚拟机网络链接模式：桥接模式

攻击机系统：kali linux 2021.1

信息收集

1.arp-scan -l //探测目标靶机

nmap -p- -A -T4 -sV 192.168.166.129 //探测目标靶机开放端口和相应服务情况

2.没有扫描成功是因为8080端口需要挂代理才能扫描

漏洞利用

1.挂上代理之后访问成功

dirsearch -u http://192.168.166.129 --proxy=192.168.166.129:3128

成功扫描出敏感目录robots.txt

2.进去之后不让访问/wolfcms ， 那肯定要进去看下

3.发现是一个woflcms 是一款php编写的的轻量级cms程序。其后台入口是http://192.168.166.129/wolfcms/?/admin/login

4.admin admin 直接弱口令登录，进去之后找到一个可以文件上传的模块

5.我们用weevely 来制作木马文件

cmd是密码 /root/weiqin.php 是路径

上传成功，下一步用weevely来连接，连接的时候后面一定也要带cmd 这是密码

6.使用weevely连接木马，因为url需要代理才可以访问，这里需要现在环境变量中配置代理

export http_proxy=http://192.168.166.129:3128

（打完靶机删除代理!unset http_proxy）

7.连接成功后在网站目录下发现config.php文件，发现数据库密码

root john@123

8.登录数据库失败

整理获得的信息 有22端口 数据库密码 一个数据库用户名密码

这里可能有密码复用，实在不行只能爆破

权限提权

ssh sickos@192.168.166.129

发现成功登录后 ，sudo -l 发现sickos用户可以执行任何命令

直接sudo -s 切换到root用户下 直接拿下！！！