Vulnhub-Photographer1

靶机IP：172.16.10.105

攻击机IP：172.16.10.108

1、扫描靶机端口和服务

2、匿名连接一下samba服务器，有一个txt文件和wp网站备份压缩文件。

3、查看一下txt文件，是agi发给daisa的一封邮件，告诉daisa网站已经搭建好，不要忘记你的密码。

4、访问80端口，是一个静态页面，没什么东西

5、再访问一下8000端口，识别出是koken cms

6、漏洞库搜索一下cms漏洞，发现有一个任意文件上传漏洞

7、利用这个漏洞需要登录后台，后台路径是/admin

8、访问8000端口首页有daisa的名字，根据之前的txt文件，邮箱可能是[email protected]，密码应该是babygirl，尝试登录成功。

9、准备一个php反弹shell的脚本，在kali找一个，修改ip和端口

10、点击页面有下角import conten，会弹出窗口，可以上传文件。

11、上传反弹shell脚本并进行抓包，删除后缀名.jpg发送请求包

12、开启本地监听

nc -lvnp 8888

点击上传的文件反弹成功

13、在家目录daisa目录下找到第一个flag

14、使用find命令查找拥有suid权限的文件，发现有个php7.2的二进制文件

15、使用php命令提权，最后在root目录找到第二个flag。