1.搭建靶机
官网地址:https://www.vulnhub.com/entry/driftingblues-6,672/
官网下载.ova文件双击vm打开导入
获取靶机IP kail终端输入
arp-scan -l
look一下主页
2.信息收集
扫描后台目录
dirb http://192.168.131.179
查看目录
通过访问robots.txt,我们获得了一个 /textpattern/textpattern,以及一段提示信息(希望我们在扫描目录的字典中加入.zip的扩展名)
3.渗透测试
使用gobuster工具重新扫描靶机网站目录
gobuster dir --url http://192.168.131.179 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip
访问一下
需要爆破密码
fcrackzip -D -p zi.txt -u spammer.zip
得出密码myspace4
unzip spammer.zip
解压后得到creds.txt
账号:mayer
密码:lionheart
4.漏洞利用
写入一句话
上传成功
在之前的目录可以看到我们的木马
5.获取shell
蚁剑直接连他
连接成功
