kali:192.168.56.104

主机探测:

arp-scan -l

靶机ip:192.168.56.104

端口扫描

nmap -p- 192.168.56.106

看一下web

目录扫描

 gobuster dir -u http://192.168.56.106 -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
 

exploit.html可以文件上传

随便上传一个东西发先回跳转到localhost/profile.php在源码里发先是表单cation属性写好了url

修改成靶机ip，成功提交

给出了一半的flag

偷看了一手WP，有个目录enter_network,该目录下有index.php和admin.php进去有登录界面

进入http://192.168.56.106/enter_network/admin.php

提示只有admin才能进入

cookie中添加role=admin拿到另一半flag

至于为什么添加role=admin

在登录界面随便输入一组账号密码的时候，相应包的cookie里面有个role

两次url解码->base64解密->md5碰撞得到的admin,并且无论上传什么user和pass，role都是admin

索性直接再admin.php界面添加cookie role=admin，结果拿到flag