一、下载靶机

下载地址：https://download.vulnhub.com/empire/02-Breakout.zip

下载好后使用VM打开，将网络配置模式改为net，防止桥接其他主机干扰（桥接Mac地址也可确定主机）。

二、发现主机

使用nmap扫描没有相应的ip，可能是靶机网卡接口有问题，去更改配置。192.168.29.135

nmap -O 192.168.29.1/24

三、端口扫描

使用nmap详细扫描全部端口,开启了80、139、445、10000、20000端口。

nmap -A -p- 192.168.29.135

四、目录扫描

使用下列命令探测出目录后，再看看一些敏感目录等，把所有的目录找全。

gobuster dir -u http://192.168.29.135/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php

五、web渗透

访问上述出来的目录，找我们的攻击点。我们能够访问的只有这些。

查看源码可以发现最下面有一串不知道是什么东西，查了一下这是一个Brainfuck编码，使用这个连接里的工具进行解码即可。

CTF在线工具-在线Brainfuck加密|在线Brainfuck解密|Brainfuck|Brainfuck原理|Brainfuck算法

++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.-->.2uqPEfj3D<P'a-3

这应该是一个密码，暂且当密码吧，毕竟账号也没有这么奇怪的，在nmap扫描端口的时候我们知道了139、445在 samba软件上。使用下列命令扫一下相关信息。

enum4linux -a 192.168.29.135

扫到了一个cyber的账户，在两个界面尝试，20000端口可以登录成功。可以看到一个终端界面，进去看看有没有什么命令可以执行。

直接尝试反弹shell，在kali监听我们的端口，然后执行反弹shell的命令我们就可以有反弹shell了，在家里面有一个flag。

六、提权

我们去它的备份文件里找找有没有另一个网站的密码。

cd /var/backups
ls -al

将备份文件压缩再解压缩后再访问就可以得到密码。

cd ~
./tar -cf bak.tar /var/backups/.old_pass.bak
tar -xf bak.tar
cat var/backups/.old_pass.bak

得到密码之后在20000端口重新登录root账号，即可有root权限的终端

完结撒花✿✿ヽ(°▽°)ノ✿