Vulnhub-Tomato靶机实战

前言

靶机下载地址：https://www.vulnhub.com/entry/tomato-1,557/

KALI地址：192.168.94.108

靶机地址：192.168.94.30

---

一.信息收集

1.主机发现

使用命令如下，进行发现主机

netdiscover -r 192.168.94.30

如下图发现靶机IP地址

---

2.主机扫描

这里使用的工具是Nmap来进行的主机扫描，使用命令如下

nmap -A -T4 -p- 192.168.94.30

如下图扫描结果，发现开放了21,80,2211,8888端口

---

3.目录扫描

既然开放了80端口，那么肯定要进行一次目录扫描，使用命令如下

dirb http://192.168.94.30

扫描结果如下，发现并没有多少东西，但是感觉第一个有东西

如下图访问目录antibot_image目录，如下图，发现了一堆东西

---

4.网页信息收集

其实经过搜索，看源代码，看网络，在http://192.168.94.30/antibot_image/antibots/info.php这个地址下面查看源代码发现了东西，如下图。

---

二.漏洞利用

1.文件包含漏洞

经过上面信息收集，我们发现antibot_image在这个目录下面有一堆东西，然后看代码include是包含，如下图经过测试发现拥有文件包含漏洞，这里的测试是读取/etc/passwd

在思考如何利用的时候，想到，可以尝试读取/var/log/auth.log这个文件，这个文件用处如下，下面这段话是网上找的。

/var/ log / auth.log 这是一个文本文件，记录了所有和用户认证相关的 日志 。 无论是我们通过 ssh 登录，还是通过 sudo 执行命令都会在 auth.log 中产生记录。

先说思路，思路是往日志文件写入一句话木马，然后连接，写入方法就是使用一句话木马来作为用户进行SSH连接，这样auth.log就会记录我们的登录，一句话木马也就被写入进去了，先查看是否能读取这个文件，如下图，发现可以读取。

接下来就可以在日志里面写入一句话木马了，如下图，使用ssh连接失败日志写入一句木马。

然后我们使用蚁剑验证一下是否有数据连接，是否成功，如下图，发现是成功的，url地址是http://192.168.94.30/antibot_image/antibots/info.php?image=../../../../../../../var/log/auth.log

然后我们右键在此打开终端，如下图。

---

三.提权

首先来三问分别是id,whoami,pwd如下图。

经过一番探索，指的是看tmp目录，看网站目录，看home目录并没有发现什么东西，我们查看系统版本，使用命令如下。

uname -a

如下图，发现是4.4这种版本的，我们顺便查看issue文件夹，发现是16.04版本。

我们在KALI搜索一下使用命令

searchsploit 4.4.0-21

如下图，搜索到了利用条件，但是经过测试之后，发现失败了这里用的是44300.c

于是去github上面了一下，链接如下,选择的是CVE-2017-6074

https://github.com/kkamagui/linux-kernel-exploits

如下图，已经下载到kali里面

然后我们在kali运行sh文件编译，如下图，编译成功之后会生成一个文件

之后我们在KALI开启简单的HTTP服务，然后在再靶机上面运行即可，如下命令，开启的是KALI的apache服务。

service apache2 start

然后我们把生成的文件放在网站目录下面也就是/var/www/html目录下面即可，使用命令如下

cp CVE-2017-6074 /var/www/html/

之后我们回到靶机，在tmp目录下面使用wget命令下载kali刚刚复制的文件用来提权，顺便赋予777权限，方便操作，如下图。

然后我们在靶机运行即可，但是运行失败，一运行我虚拟机就直接卡死了，啥也没提醒只有重新启动，但是根据网上其他WP来看，这一步是成功了。

---

四.总结

个人总结，学到了一个东西，如果可以文件包含可以尝试包含/var/log/auth.log如果能包含，就可以ssh连接写入东西尝试一下。