主机扫描

先ip a查看一下kali虚拟机本机ip，然后用nmap -sn扫描同网段的ip：

nmap -sn 192.168.101.0/24

如图，扫描到靶机IP为192.168.101.129：

扫描到靶机IP后探测开放的服务：

nmap -A 192.168.101.129

如图，22,80,111端口开放：

web渗透

先针对80端口进行渗透，打开192.168.101.129，使用wappalyzer插件扫描网页框架：

发现它的用户界面框架式bootstrap，搜索bootstrap的历史漏洞，发现有一个未授权访问的漏洞，但是尝试后并没有找到该未授权访问漏洞的页面：

然后对该网页进行目录爆破：

dirb http://192.168.101.129/

如图，对爆破的网站目录进行访问：

/manual目录需要权限才能访问，/img目录没有重要信息，/vendor/目录可以访问，下面有一个path文件：

访问后找到flag1：

继续查看发现有PHPMailer，之前用插件扫描时发现该网站是用php编写的，PHPMailer是php用来发送邮件的，在/VERSION下找到一串数字，这应该就是PHPMailer的版本号：

经过查找历史漏洞发现PHPMailer的版本号低于5.2.18会有远程代码执行漏洞

使用searchsploit搜索phpmailer的历史漏洞利用的exp：

searchsploit phpmailer

如图，有远程代码执行漏洞的python利用脚本：

将该脚本复制到当前目录下：

cp /usr/share/exploitdb/exploits/php/webapps/40974.py ./

如图，复制成功：

修改exp的内容，替换目标ip target为靶机ip（必须在该网页的contact主页），反弹连接的地址为kali地址。修改后门路径地址为 /var/www/html/，并开启本地nc监听，端口为4444：

开启本地监听：

nc -nvlp 4444

如图：

执行exp脚本：

python3 40974.py

执行后出现注入成功后的路径：

访问之后，会在后台生成shell文件，我们访问shell.php 文件：

然后在kali的监听页面反弹到shell：