1.搭建靶机
官网地址:https://www.vulnhub.com/entry/driftingblues-6,672/
官网下载.ova文件双击vm打开导入

获取靶机IP kail终端输入
arp-scan -l

look一下主页

2.信息收集
扫描后台目录
dirb http://192.168.131.179

查看目录

通过访问robots.txt,我们获得了一个 /textpattern/textpattern,以及一段提示信息(希望我们在扫描目录的字典中加入.zip的扩展名)

3.渗透测试
使用gobuster工具重新扫描靶机网站目录
gobuster dir --url http://192.168.131.179 --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip

访问一下

需要爆破密码
fcrackzip -D -p zi.txt -u spammer.zip

得出密码myspace4
unzip spammer.zip
解压后得到creds.txt

账号:mayer
密码:lionheart
4.漏洞利用

写入一句话

上传成功

在之前的目录可以看到我们的木马

5.获取shell
蚁剑直接连他
连接成功
