本次实验需要kali虚拟机和靶机（此次靶机版本为ubuntu16-04）靶机我们不知道ip。

kali和靶机默认nat模式即可

在kali（攻击机ip：192.168.3.129）扫描局域网内C段主机（探测靶机ip）

nmap -sP 192.168.3.1/24扫描到靶机ip为192.168.130

扫描ip的端口服务nmap -P 1-65535 -A 192.168.3.130看到22和80端口开启

我们访问一下192.168.3.130查看源码发现并没有什么

我们先目录扫描看看有什么信息，有个wordlists目录但是先不用

可以看到还有一个dev目录，我们访问一下，也没看到有用的信息。

继续扫描txt，php，zip看到三个文件

看下image.php目录，好吧没啥

继续看secret.txt 目录看到有说location.txt

注意靶机有提示说找一个password文件，上面有个fuzz（模糊测试）

构造参数http://192.168.3.130/index.php?para=value，para（参数）value（值）

用字典，wfuzz（kali自带）

过滤下12w只剩下一个“file”

那我们就知道参数是file，http://192.168.3.130/index.php?file=可以想到文件包含漏洞和任意文件访问漏洞，构造一下http://192.168.3.130/index.php?file=/etc/passwd，看到wrong file

想起我们前面看到提示一个location.txt文件，我们设置为值

看到使用参数‘secrettier360’用另一个php那就是image.php

继续http://192.168.3.130/image.php?secrettier360=/etc/passwd注意这里的index.php换成image.php,看到这一串就知道是linux系统

有点乱，我们用命令行访问

找到一个password.txt，诶，这时候想到靶机提示的

http://192.168.3.130/image.php?secrettier360=/home/saket/password.txt

看到follow_the_ippsec，尝试用这个密码登录，结果报错

之前我们扫到一个wordpress（wordpress是一个cms建站系统）访问http://192.168.3.130/wordpress

下滑点击login in，输入这个密码follow_the_ippsec，这个页面其实已经告诉了我们账户名称

如果想不到或者没有的话我们可以用kali自带的wpscan工具（一款wordpress专用的扫描器）

可以看我们扫出来了用户，在我们登录到wordpress时便想到可以用wordpress漏洞利用，我们点击wordpress里面的Appearance里面的theme editor（有关wordpress需要一点了解，这里就不说了，可以自行百度）

看到右边的files找到一个secret.php可以写入代码

我们在这里上传一个木马文件，这里我们可以在攻击机上用msfvenom生成一个php文件，这里ip和端口都是kali的，端口随便设置

我们将shell.php文件内容复制，注意不要复制到/*

将内容复制到wordpress的页面中，update file

我们在kali开启msfconsole模块，用来监听反弹shell，这里的设置要和你msfvenom生成木马的设置一样，exploit

然后再火狐上访问secret.php文件，http://192.168.3.130/wordpress/wp-content/themes/twentynineteen/secret.php访问，反弹到shell

此时我们已经拿到了管理系统的权限，getuid查看一下当前用户，sysinfo查看靶机版本

现在我们权限不够，需要提权到root，可以利用Ubuntu内核提权。

kali另开一个cmd窗口，在msfconsole中搜索ubuntu漏洞，前面sysinfo看到靶机版本是16.04

看到一个4.13.9版本，有一个.c文件，我们在开一个cmd窗口，进入这个.c文件目录

在这里能看到45010.c文件，我们将这个文件复制到当前目录

然后gcc（kali自带）编译

现在我们要将45010上传到管理系统里面，传到/tmp/目录是因为tmp目录是任意用户可读可写可执行

进入tmp目录，ls看到45010，给45010加权限，运行45010

然后whoami查看权限是root用户，cd /root看到有一个root.txt文件，到此拿到了操作系统的root权限，