前期準備：

靶機地址：https://www.vulnhub.com/entry/empire-breakout,751/

kali 攻擊機ip：192.168.11.129
靶機 ip：192.168.11.189

一、資訊收集

1.使用nmap對目標靶機進行掃描

發現開了80、139、445、10000、20000埠。

2. 80埠

掃一下目錄：

沒發現什麼，檢視 80 埠預設首頁原始碼時又發現：

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

一看就是 Brainfuck/Ook! 加密，解得：.2uqPEfj3D<P'a-3

3. 10000 埠

是個登入介面。

4. 20000埠

二、漏洞利用

也是個登入介面，和10000埠的不一樣。
之前nmap掃描出來系統裝了 Samba 軟體，所以用 Enum4linux 掃描一下 SMB 伺服器中的使用者：

發現了使用者名稱，登陸一下 2000 埠：

左下角發現了 cmd shell 的圖示：

vim 寫入 反彈 shell：

nc 連線：

三、提權

檢視一下檔案：

發現了 user.txt，應該是個 flag。除此之外還發現一個 tar 檔案，檢視一下檔案的相關屬性：

發現有 cap_dac_read_search=ep 功能，能讀取檔案。後來在 /var/backups 目錄下發現了一個密碼備份檔案：

只能由root使用者讀取，不過之前發現 tar 可以讀取任意檔案，那就用 tar 讀取檔案：

獲得了密碼，切換成 root 使用者：

得到 flag。