Vulnhub 靶場 EMPIRE: BREAKOUT
前期準備:
靶機地址:https://www.vulnhub.com/entry/empire-breakout,751/
kali 攻擊機ip:192.168.11.129
靶機 ip:192.168.11.189
一、資訊收集
1.使用nmap對目標靶機進行掃描
發現開了80、139、445、10000、20000埠。
2. 80埠
掃一下目錄:
沒發現什麼,檢視 80 埠預設首頁原始碼時又發現:
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
一看就是 Brainfuck/Ook! 加密,解得:.2uqPEfj3D<P'a-3
3. 10000 埠
是個登入介面。
4. 20000埠
二、漏洞利用
也是個登入介面,和10000埠的不一樣。
之前nmap掃描出來系統裝了 Samba 軟體,所以用 Enum4linux 掃描一下 SMB 伺服器中的使用者:
發現了使用者名稱,登陸一下 2000 埠:
左下角發現了 cmd shell 的圖示:
vim 寫入 反彈 shell:
nc 連線:
三、提權
檢視一下檔案:
發現了 user.txt,應該是個 flag。除此之外還發現一個 tar 檔案,檢視一下檔案的相關屬性:
發現有 cap_dac_read_search=ep 功能,能讀取檔案。後來在 /var/backups 目錄下發現了一個密碼備份檔案:
只能由root使用者讀取,不過之前發現 tar 可以讀取任意檔案,那就用 tar 讀取檔案:
獲得了密碼,切換成 root 使用者:
得到 flag。