基本信息

靶机下载：https://download.vulnhub.com/empire/02-Breakout.zip

攻击机器：192.168.20.128（Windows操作系统）& 192.168.20.138（kali）

提示信息：这台靶机被设计为简单难度的靶机，但如果你迷失方向，它可能会变成中等难度。

靶机：192.168.20.0/24

目标：获取2个flag+root权限

具体流程

信息收集

老样子首先使用arp-scan -l对主机进行探活，发现主机IP为192.168.20.145

之后对开放的端口进行扫描，执行nmap -O -sV -p- -A 192.168.20.145，结果如下所示

这里开放了80端口，说明还是从80端口进行渗透，我们首先访问80端口，结果如下

首先还是进行后门路径的扫描吧，先使用默认字典进行扫描，如下所示

可以发现有一个/manual/index.html的路径，我们尝试访问

这是一个Apache的官网，其域名的指向显示的也是apache的官网，显然是重定向到apache的官网上去了，所以这里也并没有什么有价值的信息

同时我们在之前的端口扫描中可以发现其10000端口和20000同样开放了，且是http服务，我们尝试访问这两个端口，看看有没有什么关键信息

我们可以发现是两个登录框，那么现在就是要找到账号密码登录进去即可

我们在80端口页面的源码中找到了加密过的账号密码，即用户的账号密码泄露了，我们只要对这串字符进行解密就可以拿到登录的账号密码，然后我们就可以成功登录那两个页面。

破解用户名

这是非常经典的brainfuck加密方式，我们拿去解密，发现这串密码为.2uqPEfj3D<P'a-3，但是我们还不知道用户名，这个时候我们采用burp对用户名进行爆破，但是发现请求过快会被服务器拒绝连接，所以也不能直接进行爆破

我这里试着把请求速度改慢一点，发现还是不行，说明这里不适合用burp进行爆破，我们只能试着换其他方式，这里通过查看wp发现使用了一种新的信息收集工具，enum4linux，这个工具是一个枚举工具，是用于枚举windows和Linux系统上的SMB服务的工具，可以轻松的从与SMB服务有关的目标中快速提取信息

同时在前期的信息收集的过程中，我们可以发现我们的主机同样开放了139端口和445端口，所以这里我们应该使用enum4linux进行信息的收集

我们成功发现登录的用户名为cyber，接着我们尝试着去登录我们的两个网站，看看是否能有新的发现，我们只能登录usermin界面

我们发现这里可以使用命令行，我们尝试使用命令行对服务器进行控制，这里我们发现了第一个flag值

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

权限提升

我们发现该目录下有一个可执行文件tar，在这里放一个可执行文件肯定有其深意，我们还是先用linpeas.sh进行相关信息查询

我们发现没有办法成功运行，这个时候我们尝试去找和pass有关的文件

find / -name '*pass*' 2>/dev/null

我们在这里成功发现了一个密码的备份文件，我们尝试用tar去压缩这个文件，然后再解压这个文件，这样把其移动到我们cyber用户的根目录下，然后把这个文件解压出来，再试试能不能获取其中的内容

./tar -czvf pass.tar.gz /var/backups/.old_pass.bak
./tar -xzvf pass.tar.gz
cat var/backups/.old_pass.bak

我们成功获得了root的密码，如下所示

接下来切换root模式即可

但是还有一个问题，就是在这个界面没办法直接切换为root，所以我们再进行一步反弹shell即可

成功找到第二个flag

3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation}

总结

brainfuck加密
enum4linux收集SMB服务信息，139和445端口对应SMB服务
使用tar命令将没有权限的文件转移到有权限的目录进行读取