小H靶场笔记:Empire-Breakout

Empire:Breakout

January 11, 2024 11:54 AM
Tags:brainfuck编码;tar解压变更目录权限;Webmin;Usermin
Owner:只惠摸鱼

信息收集

  • 使用arp-scan和namp扫描C段存活主机,探测靶机ip:192.168.199.140,且发现开放了80、139、445、10000、20000端口

  • 扫描一下开放端口80、445、10000、20000的服务、版本、操作系统和基础漏洞。

    小H靶场笔记:Empire-Breakout_第1张图片

    小H靶场笔记:Empire-Breakout_第2张图片

    小H靶场笔记:Empire-Breakout_第3张图片

    在这里插入图片描述

  • 信息量比较大,慢慢看,先看看80端口有什么吧,没有发现什么东西。只有一些配置信息。

    小H靶场笔记:Empire-Breakout_第4张图片

  • 再看一下10000端口,发现有一个Webmin(管理端),测试弱口令、默认密码和万能密码不成功,准备抓包看的时候,发现已经被限制访问了

    小H靶场笔记:Empire-Breakout_第5张图片

    小H靶场笔记:Empire-Breakout_第6张图片

  • 尝试扫出的10000端口的这个漏洞时,发现有过滤,无法读取

    在这里插入图片描述

    小H靶场笔记:Empire-Breakout_第7张图片

  • 看看40000端口,是一个Usermin(用户端)

    小H靶场笔记:Empire-Breakout_第8张图片

  • 再看看445端口,想起了一个445常用的漏洞:永恒之蓝,在msfconsole扫一下存不存在永恒之蓝漏洞

    • search ms17-010

    • use auxiliary/scanner/smb/smb_ms17_010

    • set RHOSTS 192.168.199.140

    • run之后,发现没有此漏洞。

  • 扫了一下目录,也没什么东西。

    小H靶场笔记:Empire-Breakout_第9张图片

  • 是不是之前看页面的时候遗漏了什么,再去看看80端口,找找突破口。果不其然,查看了一下80端口的源码,有给提示信息,不过是加密的。

    小H靶场笔记:Empire-Breakout_第10张图片

漏洞利用

  • 网上搜一下这是什么加密。发现是brainfuck加密。找个在线解密网站https://www.splitbrain.org/services/ook直接进行解密。解出来一串字符串,应该 是个密码吧。但是我们没有用户。root admin登陆不了。

    • .2uqPEfj3D

    小H靶场笔记:Empire-Breakout_第11张图片

  • 使用枚举windows和Linux系统上的SMB服务的工具:enum4linux ,从与SMB服务有关的目标中快速提取信息。

    • sudo enum4linux 192.168.199.140

    • 用户名

      小H靶场笔记:Empire-Breakout_第12张图片

    • 两个域

      小H靶场笔记:Empire-Breakout_第13张图片

    • 用户

      小H靶场笔记:Empire-Breakout_第14张图片

    • 尝试一下登录,(这里每尝试四个,第五个就会被限制一会,需要等待一会才能继续试)最后用户cyber成功进入Usermin内。

      小H靶场笔记:Empire-Breakout_第15张图片

      小H靶场笔记:Empire-Breakout_第16张图片

  • 翻找页面的内容,发现可以直接打开一个终端。

    小H靶场笔记:Empire-Breakout_第17张图片

  • 查看文件,一个用户权限flag。(test.png是我上传的一个图片马,但是没找到路径访问)

    小H靶场笔记:Empire-Breakout_第18张图片

  • 直接nc反弹shell到kali,进行下一步操作。

    • kali监听,用户终端反弹shell

      在这里插入图片描述

      在这里插入图片描述

提权

  • 转换为交互性shell

    在这里插入图片描述

  • 查找SUID文件和sudo(无需密码)的文件,没有什么发现

    小H靶场笔记:Empire-Breakout_第19张图片

  • 用户目录下也只有一个用户

    小H靶场笔记:Empire-Breakout_第20张图片

  • 看一下有没有隐藏文件可以用吧,因为是http server翻到了var中有一个backups很可疑,看了一下所有文件,发现一个密码。但是无权限查看

    • ls -al

      小H靶场笔记:Empire-Breakout_第21张图片

  • 其他的话之前我们在用户目录下发现只有一个tar可用,肯定不是无故放在这里的。

    • 搜了一下,发现tar解压可使目录权限发生变更,变更为当前操作用户的权限

    • 直接压缩文件

    • ./tar -cf backup.tar /var/backups/.old_pass.bak

      在这里插入图片描述

  • 解压文件

    • ./tar -xf backup.tar

      小H靶场笔记:Empire-Breakout_第22张图片

  • 进入文件夹查看

    小H靶场笔记:Empire-Breakout_第23张图片

    在这里插入图片描述

  • 直接登录root用户

    • su root
    • 登录成功,拿到flag

    小H靶场笔记:Empire-Breakout_第24张图片

Brainfuck编码

  • BrainFuck 语言只有八种符号,由 > < + - . , [ ] 的组合来完成。
  • 在线加解密网站
    • https://www.splitbrain.org/services/ook
    • https://www.nayuki.io/page/brainfuck-interpreter-javascript

enum4linux

  • 使用枚举windows和Linux系统上的SMB服务的工具:enum4linux ,从与SMB服务有关的目标中快速提取信息。
    • sudo enum4linux 192.168.199.140
    • sudo enum4linux -a -o 192.168.199.140

你可能感兴趣的:(靶场笔记,笔记,安全,web安全,网络安全)