一、信息收集 访问ip自动跳转域名，host绑定域名后访问 目录爆破 有一个登录目录，访问发现是apahce ofbiz登录页面 发现存在漏洞 二、漏洞利用 在github上找到了图形化利用工具 使用工具反弹shell 得到flag 三、权限提升 从本地利用python开启http服务，wget把linpeas.sh下载到