前期准备:
靶机地址:https://www.vulnhub.com/entry/empire-breakout,751/
kali 攻击机ip:192.168.11.129
靶机 ip:192.168.11.189
一、信息收集
1.使用nmap对目标靶机进行扫描
发现开了80、139、445、10000、20000端口。
2. 80端口
扫一下目录:
没发现什么,查看 80 端口默认首页源代码时又发现:
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
一看就是 Brainfuck/Ook! 加密,解得:.2uqPEfj3D<P'a-3
3. 10000 端口
是个登录界面。
4. 20000端口
二、漏洞利用
也是个登录界面,和10000端口的不一样。
之前nmap扫描出来系统装了 Samba 软件,所以用 Enum4linux 扫描一下 SMB 服务器中的用户:
发现了用户名,登陆一下 2000 端口:
左下角发现了 cmd shell 的图标:
vim 写入 反弹 shell:
nc 连接:
三、提权
查看一下文件:
发现了 user.txt,应该是个 flag。除此之外还发现一个 tar 文件,查看一下文件的相关属性:
发现有 cap_dac_read_search=ep 功能,能读取文件。后来在 /var/backups 目录下发现了一个密码备份文件:
只能由root用户读取,不过之前发现 tar 可以读取任意文件,那就用 tar 读取文件:
获得了密码,切换成 root 用户:
得到 flag。