vulhub->driftingblues-1靶機滲透測試

透過arp-scan掃描到靶機的IP地址為172。16。9。101

然後對靶機進行初步掃描查詢開啟的埠nmap -sS -p- 172。16。9。101

掃描結果發現靶機只開放了兩個埠22。80

訪問靶機的80埠，並且掃描其目錄dirb http：//172。16。9。101/ &dirb http：//driftingblues。box -X 。html，。php，。txt。

訪問靶機網站，發現網站下面有一行小字

請聯絡eric@dirftingblues。box。可以推測，driftingblues為網站的域名，eric為網站的一個管理員或者使用者。然後將dirftingblues。box加入主機的hosts檔案中，進行測試是否推測成功

發現添加了hosts檔案之後訪問其域名可以成功訪問。

然後結合dirb的掃描結果檢視

發現一個新的URL地址，訪問這個地址，地址會先為：dig。。 deeper。。 maybe you，然後訪問靶機的主頁index，ph，然後檢視頁面原始碼，可以發現在主頁下面有一小行的base64加密過的密文

經過解密得到字串/noteforkingfish。txt，然後訪問driftingblues。box/noteforkingfish。txt這個地址

發現全都是由Ook字串組成，然後百度了一下，發現是一種加密方式，解密過後的字串為my man， i know you are new but you should know how to use host file to reach our secret location。 -eric（我的人，我知道你是新來的，但你應該知道如何使用主機檔案到達我們的秘密位置-埃裡克）字串有提到host file，配置域名和IP地址的檔案，推測可能是需要新增子域名然後得到eric的密碼提示。然後進行子域名掃描

gobuster vhost -u driftingblues。box -w /usr/share/dirbuster/wordlists/directory-list-2。3-medium。txt | grep “Status： 200”

掃描域名下是否有其他子域名，然後掃描到兩條域名Test。driftingblues。box&&test。driftingblues。box將其新增進hosts檔案，然後去訪問test。driftingblues。box，頁面回顯work in progress -eric（正在進行的工作-埃裡克）

然後使用dirb工具對目錄進行掃描

訪問robots。txt檔案，頁面回顯

發現有一個名為ssh_cred。txt，應該隱藏了ssh連線的資訊

訪問URL頁面回顯

從頁面可以得到資訊，eric使用者的密碼為13位，前12為固定字串1mw4ckyyucky，最後一位為隨機的數字，我們就可以使用crunch命令生成字典進行爆破

crunch 13 13 -t 1mw4ckyyucky% > password。txt&&hydra -l eric -P password。txt 172。16。9。101 ssh然後獲得eric使用者的密碼，進行ssh連線

連線後為低許可權使用者，需要進行提權。但是檢視目錄下有一個user。txt檔案，獲得第一個flag

然後檢視版本號和常規suid命令進行提權發現都提權不了，只能在靶機內部找到存在root許可權執行的檔案或者指令碼。

訪問/var目錄下的檔案，發現有一個backups的資料夾，是一個備份系統的資料夾，檢視資料夾裡面的檔案內容，

發現backup。sh檔案中執行的命令是root許可權的。並且檔案中直接提示說有一個backdoor，發現後面用sudo執行了/tmp/emergency檔案，檢視tmp目錄，發現並沒有該檔案，於是我們建立一個名為emergency的檔案，

echo “cp /bin/bash /tmp/backdoor； chmod +s /tmp/backdoor‘ > /tmp/emergency

chmod +x emergency

然後等待backup。sh檔案執行emergency檔案之後就會生成backdoor檔案，然後執行檔案。/backdoor -p就可以獲得root許可權，然後就可以檢視/root目錄下的最後一個flag