首先是下载镜像，然后用vmware打开，记得关闭usb，然后网络配置建议设置成桥接模式，然后需要指定桥接的网卡。

使用nmap进行扫描

sudo nmap -sP 192.168.[num1].1/24  

/24表示那个网段1-254都扫描

然后对靶机的ip进行端口扫描

sudo nmap -sC -sV -p- 192.168.[num1].[num2]

-sC 表示使用nmap脚本探测 -sV探测服务信息

-p-表示扫描全端口

扫出来开放了22和80端口

访问80端口可以看到一个网页

这个靶机很多信息隐藏在流量中，所以我这开着burp。这是个好习惯

网页Apache

试了下phpmyadmin

然后我们也不知道什么网站结构 ，用dirb或者dirsearch扫

因为我这边brew装不上dirb，然后我用pip装了dirsearch

kali就没有这些问题，直接装

dirsearch -u http://192.168.2.34

扫出来有个index.php看一下，状态码是200，但是点进去是not found。有点问题，看一下源代码。看到了有个注释，关于beelzebub的md5值

然后经过尝试，发现这个可能是网站的一个目录

dirsearch -u http://192.168.2.34/d18e1e22becbd915b45e0e655429d487

发现了wordpress

那就用wpscan扫一下

找到了两个用户，一个上传目录泄漏

记录下用户名，这个会跟我们的ssh有关系，因为需要用户名和密码

然后访问一下wordpress首页。发现打不开

在burp上发现浏览器向192.168.1.6地址请求css等文件，于是我拦截请求与响应。把全部1.6改成2.34.于是就访问了页面。但是并没有发现什么有用的信息。

于是返回来看看那个目录泄漏

其中有一个文件夹点进去，有一个页面。大概就是说跟恶魔打招呼，你找不到啥有用的信息。但是在请求的cookie里面，有一个password。于是尝试ssh连接靶机

连接上后，看一下位置在哪

pwd

然后

uname -a

看了下系统版本 18.04

想在searchsploit搜索一下，发现那个提权的首先需要root权限运行，这就有点莫名其妙

然后看看有啥内容

ls -la

发现有一个.bash_history

cat 查看一下

看到了他在www.exploit-db.com竟然下载了一个东西。于是在靶机上下载下来，猜测这东西能用来提权

然后想着用rname进行改名，加一个后缀。发现没装。于是用mv

改完之后，gcc编译。这些步骤其实可以看那个.bash-history文件内容，会有所启发

然后

chmod +x a.out
./a.out
pwd

发现是root权限

cat /root/root.txt