Empire:Breakout
项目地址:https://download.vulnhub.com/empire/02-Breakout.zip
是一个打包好的镜像文件
注意:导入 vmx 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本
80、10000、20000 都是 Web 服务
敏感信息泄露
Apache2 Debian Default Page: It works
在 80 端口首页中发现注释
SMB 用户枚举
前面扫描发现一个开放的 SMB 端口,使用 enum4linux 进行用户枚举
找到用户 cyber
CTF
Brainfuck 解密
前面的注释一眼 Brainfuck,去在线网站解密
拿到 .2uqPEfj3D<P'a-3 去登录
发现 20000 端口可以登录进去
RCE
Usermin 1.830
发现在最下面有一个终端,点击后可以执行任何命令
直接反弹 Shell
提权
Capabilities 提权
sudo -l 查看权限无果
执行命令 getcap -r / 2>/dev/null
getcap:用于查看文件的 “能力”(capabilities)-r:递归查询/:指定搜索的根目录2>/dev/null:将所有报错信息直接丢弃
当一个文件被设置了能力,它的行为会受到特殊影响。例如:
cap_setuid:允许程序修改自己的UID,即把自己变成 rootcap_net_bind_service:允许程序绑定小于1024的特权端口cap_sys_ptrace:允许程序读写其他进程的内存,可用于注入代码cap_dac_read_search:允许程序绕过文件系统的所有读权限检查,直接读取任何文件
/usr/bin/ping 带有 cap_net_raw 是正常系统配置,用于发送 ICMP 包
/home/cyber/tar 带有 cap_dac_read_search=ep 则是极度高危信号——这个自定义的 tar 程序可以绕过所有文件读权限检查
在备份目录中找到一个密码的备份文件
在家目录中可以以 Root 身份运行 tar
先将 /var/backups/.old_pass.bak 打包,/home/cyber/tar 拥有 cap_dac_read_search,可以直接忽略权限检查,将它打包进归档
然后解压上一步生成的 passwd
即在当前目录下创建了 var/backups/ 目录,并把旧的密码备份文件还原了出来
拿到密码
1 | Ts&4&YurgtRX(=~h |
最后提权成功
