前期准備:
靶機地址:https://www.vulnhub.com/entry/empire-breakout,751/
kali 攻擊機ip:192.168.11.129
靶機 ip:192.168.11.189
一、信息收集
1.使用nmap對目標靶機進行掃描
發現開了80、139、445、10000、20000端口。
2. 80端口
掃一下目錄:
沒發現什么,查看 80 端口默認首頁源代碼時又發現:
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
一看就是 Brainfuck/Ook! 加密,解得:.2uqPEfj3D<P'a-3
3. 10000 端口
是個登錄界面。
4. 20000端口
二、漏洞利用
也是個登錄界面,和10000端口的不一樣。
之前nmap掃描出來系統裝了 Samba 軟件,所以用 Enum4linux 掃描一下 SMB 服務器中的用戶:
發現了用戶名,登陸一下 2000 端口:
左下角發現了 cmd shell 的圖標:
vim 寫入 反彈 shell:
nc 連接:
三、提權
查看一下文件:
發現了 user.txt,應該是個 flag。除此之外還發現一個 tar 文件,查看一下文件的相關屬性:
發現有 cap_dac_read_search=ep 功能,能讀取文件。后來在 /var/backups 目錄下發現了一個密碼備份文件:
只能由root用戶讀取,不過之前發現 tar 可以讀取任意文件,那就用 tar 讀取文件:
獲得了密碼,切換成 root 用戶:
得到 flag。