靶机地址：https://www.vulnhub.com/entry/driftingblues-2,634/

靶机ip：192.168.56.129

端口扫描

提供了3个服务

ftp服务

有ftp服务，尝试匿名登录进去，发现一张jpg图片，下载到本地进行，未发现有什么信息，留下备用

80端口服务

访问80端口，得到一个页面，只是一张图片

目录扫描得到一个blog目录

访问blog目录

访问blog目录，发现里面有许多博客可以访问

点击链接，无法进入，可能未识别域名

修改hosts文件，添加对应ip和域名

访问域名，登录后台

可以正常访问该域名

该后台登录系统使用的wordpress架构，可以使用wpscan进行扫描，得到可以登录的用户名，并破解出密码

使用albert账户和密码成功登录后台

反弹shell

查找可以写入shell的地方，找到有一个404.php的页面可以编辑，此处使用php-reverse-shell.php的脚本内容，只需要修改ip和port为指定的值即可

此时访问一个不存在的url，会进行跳转到404错误

测试机进行监听，成功获得靶机的shell

提权

私钥免密登录为普通用户

进入home目录中，发现一个用户freddie，进入用户目录，有一个txt文件，但没有权限查看

进入.ssh文件夹中，发现一对公私钥对，其中私钥有可读权限

把id_rsa的内容复制到本地为id_rsa文件，并修改权限为400

使用私钥免密登录，可以成功登录为用户freddie

得到第一个flag

提权至root用户

查看sudo权限的命令，发现有一个nmap命令可以无密码root使用，用于提权

根据使用nmap提权的方法：https://gtfobins.github.io/gtfobins/nmap/

进行提权

根据提示进行配置

执行可以得到root权限的shell，但是执行命令时，无法看到输入内容，可以输入reset，得到的shell可以看到输入的命令

此时可以得到flag2

来源：freebuf.com 2021-07-01 10:54:27 by: zhangjinbo