靶机下载地址DriftingBlues: 6 ~ VulnHub

kali ip：192.168.174.128

靶机ip： 192.168.174.140

首先进行ip地址发现

进行端口扫描

这里进行目录扫描，我习惯性使用Linux里面的gobuster和Windows上的dirsearch一起进行扫描。

python dirsearch.py -u http://192.168.174.140

gobuster dir -u http://192.168.174.140/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

查看一下搜集到的目录

这里发现一个cms的主页面

再访问spammer目录，得到压缩包，但是有密码，使用工具fcrackzip进行破解，这个fcrackzip的速度非常快，当然是在字典够用的情况下。

解压得到，狮心王 mayer，类似于一个账号密码

再次对textpattern进行扫描得到

python dirsearch.py -u http://192.168.174.140/textpattern/

最后发现登录窗口，尝试刚刚解压出来的信息，可能是账号密码

这里使用谷歌浏览器老弹窗，使用火狐正常显示

还在扫描到的目录中发现cms的版本号

去搜索一下漏洞

4.8.3存在rce远程命令执行漏洞，移动到桌面进行利用

但是执行失败发现是89行报错

手工上传一个木马文件

开启nc监听

访问http://192.168.174.140/textpattern/files/backdoor.php反弹shell

至于为什么是http://192.168.174.140/textpattern/files/backdoor.php

可以尝试一下，看网上可以对脚本进行修改script后的参数改成3就可以了。（不太理解什么意思）

开启交互式窗口

python -c 'import pty; pty.spawn("/bin/bash")'

查找一下具有suid的命令，没找到什么利用的点

find / -perm -u=s -type f 2>/dev/null

本地开启python服务传文件给靶机，开启服务：python -m http.server

靶机切换到/tmp

wget一下linpease（一款Linux信息搜集工具）

chmod +x linpease.sh赋予执行权限

直接使用脚本开启扫描

发现脏牛内核漏洞

进行提权

* $ gcc cowroot.c -o cowroot -pthread

* $ ./cowroot

提权成功

拿到flag

总结:这台靶机还是比较简单的，各种工具也都是以前用过的，就连脏牛提权也是做过的，不过再熟悉一下也是不错的，加油吧，熟能生巧。