CTF靶机实战-SMB信息泄露

靶场:
和彩云 提取码:JiwY

百度网盘 提取码:676b

为了实验简便,靶机和攻击机均为NAT模式
攻击机:192.168.106.131

1.扫描本网段 nmap 192.168.106.1/24
推测出靶机IP为:192.168.106.128
20200604151143191

2.扫描靶机的服务信息
nmap -sV -T4 192.168.106.128 T4(使用最大扫描速度)

20200604151442846-1
服务介绍:
netbios:NetBIOS,为网上基本输入输出系统(英语:Network Basic Input/Output System)的缩写,它提供了OSI模型中的会话层服务,让在不同计算机上运行的不同程序,可以在局域网中,互相连线,以及分享数据。
irc:IRC是Internet Relay Chat 的英文缩写,中文一般称为互联网中继聊天。

3.列出目标服务的共享列表
需要密码直接回车

20200604152454889-2
发现一个打印驱动、一个共享文件夹share$和一个空链接,尝试一下发现share$里面的可以用。
进行连接 smbclient -L '192.168.106.128share$
需要密码直接回车
20200604153035507-3

使用ls显示出改共享中的文件
使用get命令进行下载
cd 进入文件夹

下载deets.txt下来到本地查看,其中deet.txt泄露了一个密码12345;
CTF靶机实战-SMB信息泄露_图片演示-1

进入worpress目录发现一个配置文件wp-config.php ,
CTF靶机实战-SMB信息泄露_图片演示-2
下载打开后发现数据库的账号密码,
可推测目标使用了wordpress框架
CTF靶机实战-SMB信息泄露_图片演示-3

回顾前面端口扫描,目标开启了80端口,对此我们对目标进行网站目录扫描,看是否能发现目标管理目录
使用dirb http://192.168.106.128

CTF靶机实战-SMB信息泄露_图片演示-4

使用先前发现的账号密码登入管理界面
CTF靶机实战-SMB信息泄露_图片演示-5
CTF靶机实战-SMB信息泄露_图片演示-6
在目标的404错误页面插入刚才生成的webshell
CTF靶机实战-SMB信息泄露_图片演示-7
注意点击上传
CTF靶机实战-SMB信息泄露_图片演示-8
使用mfconsole启动监听
CTF靶机实战-SMB信息泄露_图片演示-9

把shell.php文件里的代码复制到404里去点击上传成功后会显示出来
然后通过固定路径http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php访问webshell

拿道目标的meterpreter,shell
CTF靶机实战-SMB信息泄露_图片演示-10

然后输入id反弹回shell
接下来还是同样的,优化终端
(python -c “import pty;pty.spawn(’/bin/bash’)”)

CTF靶机实战-SMB信息泄露_图片演示-11

使用cat /etc/passwd/查看当前系统的其他用户名(注意home目录下)发现个togie用户,su togie去切换到togie目录,密码用之前发现的12345登录成功。

CTF靶机实战-SMB信息泄露_图片演示-12

CTF靶机实战-SMB信息泄露_图片演示-13

还是要去切换到root权限,用sudo -l查看su能执行哪些操作,然后用sudo su来提升权限

CTF靶机实战-SMB信息泄露_图片演示-14

最后在root找到flag.txt。

步骤:
1.扫描目标IP
2.扫描目标端口,服务
3.对目标服务版本进行搜索,看是否存在已知漏洞
4.若目标存在80端口,对其进行,遍历目录扫描

能力有限,作此总结!

没有账号? 忘记密码?

社交账号快速登录