靶场VNH练习（5）Breakout

靶场名称：Breakout
难度：简单
目标：拿到root权限
下载链接：https://www.vulnhub.com/entry/empire-breakout,751/

环境搭建

安装好虚拟机，打开就可以看到靶机ip

渗透开始

首先这里没有账户密码，这里把ip扫一下端口，看有没有有用的端口

思路一（失败）

这里发现5个端口，这里先尝试访问80端口。

这里发现是一个Debian系统安装的Apache默认初始页面

这里可以看到apache的版本是2.4.51，这里可以尝试扫描一下目录，看有没有利用的点

目录无可用的点，这里搜索发现Apache2.4.51存在缓存溢出漏洞，可以命令执行，但目前没有利用方式

思路二（失败）

可以看到445/139端口，永恒之蓝的必备端口

msfconsole												//打开msf
search ms17-010                  //寻找ms17-010对应的模块
use 3														//3模块是扫描模块，先进行扫描有没有永恒之蓝
set rhosts 172.16.82.20					
run

思路三（失败）

因为上面扫描了端口，10000端口开着，这里访问10000，发现webmin登录
这里尝试利用webmin进行突破，首先查看了一下webmin的版本信息，webmin版本为1.981

这里搜索一下webmin所有的历史漏洞，发现webmin的版本较新，暂无可用漏洞

思路四（失败）

这里还有一个20000端口，访问发现是usermin登录页面，webmin 的版本较高，暂无利用poc

正式开始

首先使用kili自带的一个信息收集工具‘enum4linux’对靶机进行扫描
“enum4linux是Kali Linux自带的一款信息收集工具。它可以收集Windows系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等

enum4linux -a 192.168.56.101    //这里也可以使用-r直接枚举用户

使用上面的命令直接收集靶机的所有信息

这里我们就获取了用户名，接着就是密码了，80端口是apache 的初始页面，很多人可能直接忽略的查看网页源码（我也忽略了，不够仔细，Apache的初始页面居然藏着密码）查看页面源码拉到最后，如图所示：

这里是Brainfuck加密，推荐一个网站：https://www.splitbrain.org/services/ook
Brainfuck和Ook!都可以解密，如图所示：

这里就获得了账户和密码

cyber/.2uqPEfj3D<P'a-3

20000端口的usermin可以直接登录进来，如图所示

进来后就简单了，webmin有命令执行的选项，如图所示

这里如果是vmbox的话建议使用桥接网络，如果不会具体见
VMBOX桥接网络
《VMBOX桥接网络》

监听端口 nc -lvvp 10100

反弹shell

提权

这里已经拿到shell了，但只是用户权限，这边提权到root权限
首先看看内核版本信息

uname -a
lsb_release -a

CVE-2022-0847提权未成功

这里内核版本为5.10.0-9-amd64，搜索相应的提权
这里使用linux-kali内核提权漏洞（CVE-2022-0847）
这里本地用python启一个http服务，命令如下

python -m http.server 10888   //wget通过10888端口下载下来就好了

这里还是不行，GLIBC版本不行，另外想办法

查看备份文件的密码（成功）

在/var/backups/里面发现存在隐藏文件.old_pass.bak，有可能是密码文件
这里是root权限，普通用户无法查看

在用户目录里可以发现一个tar，这里tar是root权限并且是可以用的，这里使用tar去压缩再解压获取权限读取
如图所示

./tar -czvf xxx.tar /var/backups/.old_pass.bak
//这里ls查看可以发现存在一个xxx.tar的文件

tar -zxvf pass.tar
//这里ls -la /var/backups/ 会发现.old_pass.bak权限为用户权限

cat var/backups/.old_pass.bak
//读取到密码

直接su提权，输入密码

这里发现已经变为root权限