小H靶场笔记:Empire-Breakout

Empire:Breakout

January 11, 2024 11:54 AM
Tags:brainfuck编码;tar解压变更目录权限;Webmin;Usermin
Owner:只惠摸鱼

信息收集

  • 使用arp-scan和namp扫描C段存活主机,探测靶机ip:192.168.199.140,且发现开放了80、139、445、10000、20000端口

    在这里插入图片描述

  • 扫描一下开放端口80、445、10000、20000的服务、版本、操作系统和基础漏洞。

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述

  • 信息量比较大,慢慢看,先看看80端口有什么吧,没有发现什么东西。只有一些配置信息。

    在这里插入图片描述

  • 再看一下10000端口,发现有一个Webmin(管理端),测试弱口令、默认密码和万能密码不成功,准备抓包看的时候,发现已经被限制访问了

    在这里插入图片描述

    在这里插入图片描述

  • 尝试扫出的10000端口的这个漏洞时,发现有过滤,无法读取

    在这里插入图片描述

    在这里插入图片描述

  • 看看40000端口,是一个Usermin(用户端)

    在这里插入图片描述

  • 再看看445端口,想起了一个445常用的漏洞:永恒之蓝,在msfconsole扫一下存不存在永恒之蓝漏洞

    • search ms17-010

    • use auxiliary/scanner/smb/smb_ms17_010

    • set RHOSTS 192.168.199.140

    • run之后,发现没有此漏洞。

      在这里插入图片描述

  • 扫了一下目录,也没什么东西。

    在这里插入图片描述

  • 是不是之前看页面的时候遗漏了什么,再去看看80端口,找找突破口。果不其然,查看了一下80端口的源码,有给提示信息,不过是加密的。

    在这里插入图片描述

漏洞利用

  • 网上搜一下这是什么加密。发现是brainfuck加密。找个在线解密网站https://www.splitbrain.org/services/ook直接进行解密。解出来一串字符串,应该 是个密码吧。但是我们没有用户。root admin登陆不了。

    • .2uqPEfj3D<P’a-3

    在这里插入图片描述

  • 使用枚举windows和Linux系统上的SMB服务的工具:enum4linux ,从与SMB服务有关的目标中快速提取信息。

    • sudo enum4linux 192.168.199.140

    • 用户名

      在这里插入图片描述

    • 两个域

      在这里插入图片描述

    • 用户

      在这里插入图片描述

    • 尝试一下登录,(这里每尝试四个,第五个就会被限制一会,需要等待一会才能继续试)最后用户cyber成功进入Usermin内。

      在这里插入图片描述

      在这里插入图片描述

  • 翻找页面的内容,发现可以直接打开一个终端。

    在这里插入图片描述

  • 查看文件,一个用户权限flag。(test.png是我上传的一个图片马,但是没找到路径访问)

    在这里插入图片描述

  • 直接nc反弹shell到kali,进行下一步操作。

    • kali监听,用户终端反弹shell

      在这里插入图片描述

      在这里插入图片描述

提权

  • 转换为交互性shell

    在这里插入图片描述

  • 查找SUID文件和sudo(无需密码)的文件,没有什么发现

    在这里插入图片描述

  • 用户目录下也只有一个用户

    在这里插入图片描述

  • 看一下有没有隐藏文件可以用吧,因为是http server翻到了var中有一个backups很可疑,看了一下所有文件,发现一个密码。但是无权限查看

    • ls -al

      在这里插入图片描述

  • 其他的话之前我们在用户目录下发现只有一个tar可用,肯定不是无故放在这里的。

    • 搜了一下,发现tar解压可使目录权限发生变更,变更为当前操作用户的权限

    • 直接压缩文件

    • ./tar -cf backup.tar /var/backups/.old_pass.bak

      在这里插入图片描述

  • 解压文件

    • ./tar -xf backup.tar

      在这里插入图片描述

  • 进入文件夹查看

    在这里插入图片描述

    在这里插入图片描述

  • 直接登录root用户

    • su root
    • 登录成功,拿到flag

    在这里插入图片描述

Brainfuck编码

  • BrainFuck 语言只有八种符号,由 > < + - . , [ ] 的组合来完成。
  • 在线加解密网站
    • https://www.splitbrain.org/services/ook
    • https://www.nayuki.io/page/brainfuck-interpreter-javascript

enum4linux

  • 使用枚举windows和Linux系统上的SMB服务的工具:enum4linux ,从与SMB服务有关的目标中快速提取信息。
    • sudo enum4linux 192.168.199.140
    • sudo enum4linux -a -o 192.168.199.140

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/616731.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

作业--day45

定时播放 #include "mywidget.h" #include "ui_mywidget.h"MyWidget::MyWidget(QWidget *parent) :QWidget(parent),ui(new Ui::MyWidget) {ui->setupUi(this);ui->bg_lab->setPixmap(QPixmap(":/pictrue/shanChuan.jpg"));ui->bg_…

AJAX入门到实战,学习前端框架前必会的(ajax+node.js+webpack+git)(六)

《诗小雅小旻》&#xff1a;“战战兢兢&#xff0c;如临深渊&#xff0c;如履薄冰。” 01.Nodejs安装与使用 什么是 Node.js&#xff1f; 什么是前端工程化&#xff1f; Node.js 为何能执行 JS&#xff1f; 查看当前使用的Node.js版本&#xff1a;node -v 执行JS&#xff1a;no…

Linux(Debina12)系统安装

在开发或学习中&#xff0c;linux系统是我们必须要熟悉的系统&#xff0c;那么今天就记录一下&#xff0c;较为稳定&#xff0c;也是小编这几年当做开发环境的发行版吧 官网地址 https://www.debian.org 下载链接 http://mirrors.163.com/debian-cd/12.4.0/amd64/iso-dvd/ …

先锋WEB燃气收费系统 Upload.aspx 文件上传漏洞复现

0x01 产品简介 先锋WEB燃气收费系统是一种先进的在线燃气收费解决方案,旨在简化和优化燃气收费的流程和管理。该系统基于Web平台,提供了一系列功能和工具,使燃气公司能够高效地进行收费、账单管理和客户服务。 0x02 漏洞概述 先锋WEB燃气收费系统/AjaxService/Upload.asp…

PHP版学校教务管理系统源码带文字安装教程

PHP版学校教务管理系统源码带文字安装教程 运行环境 服务器宝塔面板 PHP 7.0 Mysql 5.5及以上版本 Linux Centos7以上 系统介绍&#xff1a; 后台权限控制&#xff1a;支持多个管理员&#xff0c;学生管理&#xff0c;学生成绩&#xff0c;教师管理&#xff0c;文章管理&#x…

随机漫步【scatter的使用】

去掉scatter的坐标轴&#xff08;未成功版&#xff09; import matplotlib.pyplot as plt from random import choice class RandomWalk():def __init__(self,num_points 5000):self.num_points num_pointsself.x_values [0]self.y_values [0]def fill_walk(self):while l…

实现秒杀功能设计

页面 登录页面 登录成功后&#xff0c;跳转商品列表 商品列表页 加载商品信息 商品详情页 根据商品id查出商品信息返回VO&#xff08;包括rmiaoshaStatus、emainSeconds&#xff09;前端根据数据展示秒杀按钮&#xff0c;点击开始秒杀 订单详情页 秒杀页面设置 后端返回秒杀…

Pycharm close project 速度缓慢解决办法

解决Pycharm close project缓慢现象 1.问题描述 close project后需要等待很长的时间。 2.解决办法 在Help -> Find Action -> 输入 Registry -> 禁用ide.await.scope.completion 问题解决&#xff01;&#xff01;&#xff01; &#x1f603;&#x1f603;&#x…

LeetCode+ 56 - 60

合并区间 双指针算法、位运算、离散化、区间合并_小雪菜本菜的博客-CSDN博客 class Solution { public:vector<vector<int>> merge(vector<vector<int>>& a) {vector<vector<int>> res;if(a.empty()) return res;sort(a.begin(),a.en…

Android开发基础(四)

Android开发基础&#xff08;四&#xff09; 本篇将从Android数据存储方式去理解Android开发。 Android数据存储方式 Android提供了多种数据存储方式。 一、SharedPreferences存储 主要用于存储一些简单的配置信息&#xff0c;如登录账号密码等&#xff1b; 这种存储方式采…

U盘启动安装win11遇到缺少计算机所需的介质驱动程序问题

一、使用U盘制作启动盘遇到问题 下载了windows原版镜像&#xff0c;验证了md5&#xff0c;确保文件没有损坏。使用ultroiso制作u盘启动盘&#xff0c;开始安装后出现下图的报错&#xff1a; 在网上搜索解决方案&#xff0c;主要有以下几种&#xff1a; 安装的时候&#xff0c…

MySQL 8.0 InnoDB Tablespaces之Temporary Tablespaces(临时表空间)

文章目录 MySQL 8.0 InnoDB Tablespaces之Temporary Tablespaces&#xff08;临时表空间&#xff09;会话临时表空间会话临时表空间的磁盘分配和回收会话临时表空间的创建创建临时表和查看临时表信息会话临时表空间相关的设置参数innodb_temp_tablespaces_dir 全局临时表空间查…

leetcode 每日一题 2024年01月09日 字符串中的额外字符

题目 字符串中的额外字符 给你一个下标从 0 开始的字符串 s 和一个单词字典 dictionary 。你需要将 s 分割成若干个 互不重叠 的子字符串&#xff0c;每个子字符串都在 dictionary 中出现过。s 中可能会有一些 额外的字符 不在任何子字符串中。 请你采取最优策略分割 s &…

Tensorflow2.0笔记 - 修改形状和维度

本次笔记主要使用reshape&#xff0c;transpose&#xff0c;expand_dim&#xff0c;和squeeze对tensor的形状和维度进行操作。 import tensorflow as tf import numpy as nptf.__version__#tensor的shape和维数获取 #假设下面这个tensor表示4张28*28*3的图片 tensor tf.rando…

延时任务的解决方案

延时任务的解决方案 1.数据库轮询2. JDK的延迟队列3.netty时间轮算法4.使用消息队列 1.数据库轮询 该方案通常是在小型项目中使用&#xff0c;即通过一个线程定时的去扫描数据库&#xff0c;通过订单时间来判断是否有超时的订单&#xff0c;然后进行update或delete等操作 代码示…

C++核心编程——类和对象(二)

本专栏记录C学习过程包括C基础以及数据结构和算法&#xff0c;其中第一部分计划时间一个月&#xff0c;主要跟着黑马视频教程&#xff0c;学习路线如下&#xff0c;不定时更新&#xff0c;欢迎关注。 当前章节处于&#xff1a; ---------第1阶段-C基础入门 ---------第2阶段实战…

[ctf.show 元旦水友赛 2024] crypto

感觉半个多月回家没有打开过电脑了。看到ctf.show上元旦的比赛&#xff0c;才想起似乎应该看看。 月月的爱情故事 上来这就是个小脑洞题&#xff0c;给了一大段文字和一个base64的串。并且提示&#xff1a;试试摩斯吧&#xff01; 从文字上看只有三种标点符号&#xff0c;显…

基于汽车胎压检测及温度预警

课题简介 汽车胎压监测系统可分为两种&#xff1a;一种是间接式胎压监测系统&#xff0c;是通过轮胎的转速差来判断轮胎是否异常&#xff1b;另一种是直接式胎压监测系统&#xff0c;通过在轮胎里面加装四个胎压监测传感器&#xff0c;在汽车静止或者行驶过程中对轮胎气压和温…

SwiftUI之深入解析布局协议

一、什么是布局协议&#xff1f; 采用布局协议类型的任务&#xff0c;是告诉 SwiftUI 如何放置一组视图&#xff0c;需要多少空间。这类型常常被作为视图容器&#xff0c;虽然布局协议是 2022 年新推出的&#xff08;至少公开来说&#xff09;&#xff0c;但是我们在第一天使用…

线性代数:由矩阵 AB=A 可以推出 B=E 吗?

其实&#xff0c;类似的问题在十几年前的各种提问中就出现了&#xff0c;而且&#xff0c;根据 A B A A BA ABA 推出 B E BE BE 有时候也相当 "符合直觉”&#xff0c;但如果追根问底&#xff0c;矩阵 B B B 到底应该是什么样子的&#xff0c;却很少有详细的解答。 …