前期準(zhǔn)備：

靶機(jī)地址：https://www.vulnhub.com/entry/driftingblues-3,656/

kali攻擊機(jī)ip：192.168.11.128
靶機(jī)ip：192.168.11.167

一、信息收集

1.使用nmap對(duì)目標(biāo)靶機(jī)進(jìn)行掃描

開了22和80.

2. 80端口

有一些人名，除此之外查看源碼也沒發(fā)現(xiàn)什么，掃一下目錄：

先都看一下：

/privacy/

得到一堆 AB，我以為是 AB 編碼，不過沒有解出來。

/robots.txt

得到一個(gè)目錄 /eventadmins 訪問一下：

說 ssh 有毒，并且給了一個(gè)路勁 /littlequeenofspades.html，查看一下：

是一篇歌詞，查看源碼時(shí)我發(fā)現(xiàn)一段 base64，解碼得：intruder? /adminsfixit.php，又給了一個(gè)路徑，查看一下：

是 ssh 的日志，結(jié)合前面所說的有毒，推斷應(yīng)該是日志中毒。

二、漏洞利用

那嘗試在ssh登錄時(shí)寫個(gè)一句話木馬：

嘗試?yán)靡幌拢?/p>

源碼看著方便一點(diǎn)，成功利用，看看有沒有 nc：

發(fā)現(xiàn)有 nc，那就 nc 反彈 shell：

連接成功，升級(jí)一下 shell。

三、提權(quán)

查看權(quán)限和文件發(fā)現(xiàn)：

robertj 用戶的 .ssh 文件夾能被其他用戶訪問利用，那嘗試往里面寫入 ssh 密鑰：

ssh 登錄：

登錄成功，查看文件：

得到一個(gè) flag。

有個(gè) getinfo，不像是本來的二進(jìn)制文件，嘗試運(yùn)行：

有點(diǎn)像 ip a 的命令，以防萬一下載下來看一下：

確實(shí)用了 ip a這樣的命令，那就寫一個(gè)名為 ip 的shell文件，更改環(huán)境變量并運(yùn)行：

得到 root，查看 flag：

完成。