第一步：端口扫描

我使用的是webrobot

访问这个ip，就是它了 

第二步：目录扫描

打开kali使用dirb命令扫描http://192.168.189.154下的目录

dirb http://192.168.189.154

扫描到目录。

第三步：访问目录地址

看到有几个php的文件

第四步：查看访问php的文件

我查看的antibot.php是一个空的页面，

继续查看info.php，结果查看到了一个phpinfo的页面。

第五步：查看页面源代码

查看到一个什么东西，好像是文件包含漏洞？

第六步：尝试读取文件

经过上面信息收集，我们发现antibot_image在这个目录下面有一堆东西，然后看代码include是包含，如下图经过测试发现拥有文件包含漏洞，这里的测试是读取/etc/passwd

http://192.168.189.154/antibot_image/antibots/info.php?image=../../../../../etc/passwd

查看记得翻到页面最下面。

第七步：查看/var/log/auth.log文件

这是一个日志文件，记录了所有和用户认证相关的 日志 。 无论是我们通过 ssh 登录，还是通过 sudo 执行命令都会在 auth.log 中产生记录。

/var/log/auth.log 是一个常见的系统日志文件，通常用于记录与系统认证和授权相关的信息。

 

以下是一些可能会被记录在 auth.log 中的事件类型：

 

1. 用户登录和注销事件，包括登录的时间、用户名称、登录方式（如 SSH 、本地终端等）。

   • 例如：Jul 29 10:00:00 hostname sshd[1234]: Accepted password for user1 from 192.168.1.10 port 55555 ssh2 表示用户 user1 在指定时间从指定 IP 和端口通过密码成功登录 SSH 。

2. 认证失败的尝试，例如错误的密码、无效的用户账号等。

   • 例如：Jul 29 10:10:00 hostname sshd[5678]: Failed password for user2 from 192.168.1.20 port 55556 ssh2 表明用户 user2 登录时输入的密码错误。

3. 特权操作的授权和执行，例如 sudo 命令的使用。

4. 其他与系统认证和授权相关的重要事件。

查看/var/log/auth.log文件，

第八步：尝试写入木马文件

思路是往日志文件写入一句话木马，然后连接，写入方法就是使用一句话木马来作为用户进行SSH连接，这样auth.log就会记录我们的登录，一句话木马也就被写入进去了，先查看是否能读取这个文件。

接下来就可以在日志里面写入一句话木马了，如下图，使用ssh连接失败日志写入一句木马。

第九步：使用中国菜刀连接

配置如下：

连接成功：