靶场名称:Breakout
难度:简单
目标:拿到root权限
下载链接:https://www.vulnhub.com/entry/empire-breakout,751/
环境搭建
安装好虚拟机,打开就可以看到靶机ip
渗透开始
首先这里没有账户密码,这里把ip扫一下端口,看有没有有用的端口
思路一(失败)
这里发现5个端口,这里先尝试访问80端口。
这里发现是一个Debian系统安装的Apache默认初始页面
这里可以看到apache的版本是2.4.51,这里可以尝试扫描一下目录,看有没有利用的点
目录无可用的点,这里搜索发现Apache2.4.51存在缓存溢出漏洞,可以命令执行,但目前没有利用方式
思路二(失败)
可以看到445/139端口,永恒之蓝的必备端口
msfconsole //打开msf
search ms17-010 //寻找ms17-010对应的模块
use 3 //3模块是扫描模块,先进行扫描有没有永恒之蓝
set rhosts 172.16.82.20
run
思路三(失败)
因为上面扫描了端口,10000端口开着,这里访问10000,发现webmin登录
这里尝试利用webmin进行突破,首先查看了一下webmin的版本信息,webmin版本为1.981
这里搜索一下webmin所有的历史漏洞,发现webmin的版本较新,暂无可用漏洞
思路四(失败)
这里还有一个20000端口,访问发现是usermin登录页面,webmin 的版本较高,暂无利用poc
正式开始
首先使用kili自带的一个信息收集工具‘enum4linux’对靶机进行扫描
“enum4linux是Kali Linux自带的一款信息收集工具。它可以收集Windows系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等
enum4linux -a 192.168.56.101 //这里也可以使用-r直接枚举用户
使用上面的命令直接收集靶机的所有信息
这里我们就获取了用户名,接着就是密码了,80端口是apache 的初始页面,很多人可能直接忽略的查看网页源码(我也忽略了,不够仔细,Apache的初始页面居然藏着密码)查看页面源码拉到最后,如图所示:
这里是Brainfuck加密,推荐一个网站:https://www.splitbrain.org/services/ook
Brainfuck和Ook!都可以解密,如图所示:
这里就获得了账户和密码
cyber/.2uqPEfj3D<P'a-3
20000端口的usermin可以直接登录进来,如图所示
进来后就简单了,webmin有命令执行的选项,如图所示
这里如果是vmbox的话建议使用桥接网络,如果不会具体见
VMBOX桥接网络
《VMBOX桥接网络》
监听端口 nc -lvvp 10100
反弹shell
提权
这里已经拿到shell了,但只是用户权限,这边提权到root权限
首先看看内核版本信息
uname -a
lsb_release -a
CVE-2022-0847提权未成功
这里内核版本为5.10.0-9-amd64,搜索相应的提权
这里使用linux-kali内核提权漏洞(CVE-2022-0847)
这里本地用python启一个http服务,命令如下
python -m http.server 10888 //wget通过10888端口下载下来就好了
这里还是不行,GLIBC版本不行,另外想办法
查看备份文件的密码(成功)
在/var/backups/里面发现存在隐藏文件.old_pass.bak,有可能是密码文件
这里是root权限,普通用户无法查看
在用户目录里可以发现一个tar,这里tar是root权限并且是可以用的,这里使用tar去压缩再解压获取权限读取
如图所示
./tar -czvf xxx.tar /var/backups/.old_pass.bak
//这里ls查看可以发现存在一个xxx.tar的文件
tar -zxvf pass.tar
//这里ls -la /var/backups/ 会发现.old_pass.bak权限为用户权限
cat var/backups/.old_pass.bak
//读取到密码
直接su提权,输入密码
这里发现已经变为root权限
总结
- kili自带的信息收集工具‘enum4linux’针对windows进行信息收集的时候比较好用
- 渗透没思路的时候看一下源码,说不定有惊喜
- 提权除了内核提权、suid提权还有一种就是看看有无备份文件或者隐藏文件
- 当tar是root权限还可以使用时,cat权限不够读取文件时可以尝试压缩解压,从而获得权限