Vulnhub-Empire: Breakout題解
這是Empire系列的靶機Breakout,地址:Vulnhub-EMPIRE: BREAKOUT
目標掃描
使用arp-scan 命令識別靶機IP
arp-scan -l
使用nmap 掃描開放端口
nmap -sV -p- -O 192.168.164.192
獲得shell
在瀏覽器打開目標機80端口,發現是Apache2默認頁面
查看網頁原代碼發現brainfuck編碼,根據上面提示這可能是密碼
通過在線工具進行解碼得到下面的值
通過端口掃描發現目標機有Webmin和Samba。Webmin是基於Web的Unix系統管理工具,因此上面解出來可能是這里的密碼。目標服務器裝了Samba,因此嘗試用Enum4linux
工具枚舉獲得用戶名
enum4linux -a 192.168.164.192
枚舉得到用戶名:cyber
,然后使用這個用戶名和之前得到的密碼嘗試登錄Webmin,發現可以登進20000端口的Webmin服務。
發現在左下角可以運行shell,查看id。在這里可以反彈一個交互式shell到攻擊機上。
權限提升
在home目錄下有一個tar 可執行文件,我們檢測suid 和capability,通過getcap
命令發現它有cap_dac_read_search=ep
,因此它可以讀取任意文件(利用該tar 打包再解壓就可以查看沒有權限查看的文件內容)。
后來發現在/var/backups/目錄下有一個.old_pass.bak文件,但沒有讀取權限
可以利用home目錄下的tar 來讀取它
cd
./tar -cvf pass.tar /var/backups/.old_pass.bak
tar -xvf pass.tar
cat var/backups/.old_pass.bak
得到密碼,使用su 獲得root shell,拿到flag。