Vulnhub靶机:TOMATO_ 1

目录

  • 介绍
  • 信息收集
    • 主机发现
    • 主机信息探测
  • 网站探测
    • 目录爆破
    • 文件包含漏洞
    • 写入日志拿shell
  • 提权
  • 总结

介绍

系列:Tomato(此系列共1台)
发布日期:2020年09月14日
注释:使用vmwar workstation运行虚拟机
难度:低
目标:取得 root 权限 + Flag
攻击方法:

  • 主机发现
  • 端口扫描
  • 信息收集
  • 路径爬取
  • 文件包含
  • 写入日志
  • 内核漏洞枚举
  • 本地提权

靶机地址:https://www.vulnhub.com/entry/tomato-1,557/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.239.0/24

主机信息探测

nmap -p- 192.168.239.140
nmap -p21,80,2211,8888 -A 192.168.239.140

网站探测

开局就是一个静态页面,没啥东西,访问8888端口,是个form表单,爆破无果。直接目录爆破80端口
Vulnhub靶机:TOMATO_ 1_第1张图片

目录爆破

使用dirb递归目录扫描和dirsearch目录爆破,没有发现任何有价值的信息,更换字典使用gobuster扫描出一个敏感目录

dirb http://192.168.239.140/
dirsearch -u http://192.168.239.140/ --full-url -R 2 -x 404 --exclude-sizes=0B
gobuster dir -r -u http://192.168.239.140/ -w /usr/share/SecLists-2022.2/Discovery/Web-Content/common.txt -t 100 -e

Vulnhub靶机:TOMATO_ 1_第2张图片

打开页面后,发现了phpino页面,打开之后burpsuite检测到了一段html注释信息,好家伙,这不是经典的文件包含测试代码吗?
Vulnhub靶机:TOMATO_ 1_第3张图片

测试一下,果然是文件包含
Vulnhub靶机:TOMATO_ 1_第4张图片

文件包含漏洞

首先确认到靶机是不支持远程文件包含的,我尝试获取tomato用户的id_rsa私钥,结果获取不到。
Vulnhub靶机:TOMATO_ 1_第5张图片

Vulnhub靶机:TOMATO_ 1_第6张图片

既然只能本地文件包含,那就先一把梭吧,看看都是能看到哪些文件,字典我选用了SecLists-2022.2\Fuzzing\LFI\LFI-gracefulsecurity-linux.txt,结果发现了/var/log/auth.log

这是一个文本文件,记录了所有和用户认证相关的日志。无论是我们通过ssh登录,还是通过sudo执行命令都会在auth.log中产生记录。因此经常被写入shell。
Vulnhub靶机:TOMATO_ 1_第7张图片

写入日志拿shell

  1. 首先验证能写入内容,发现日志里面确实记录了我刚才的ssh登录内容

Vulnhub靶机:TOMATO_ 1_第8张图片

Vulnhub靶机:TOMATO_ 1_第9张图片

  1. 写入一句话木马:ssh ''@192.168.239.140 -p 2211

发现使用“lainwith”登录ssh时,有日志记录,使用一句话木马的时候没有日志记录,说明一句话木马没有当作普通文本处理,而是当成代码执行了!【即:一句话木马当作代码执行时,日志里面才会没有记录】
Vulnhub靶机:TOMATO_ 1_第10张图片

Vulnhub靶机:TOMATO_ 1_第11张图片

  1. 连接webshell

很尴尬啊,nc不能用-e才能连接,一旦连接就会瞬间断开连接,只能换用别的了。
Vulnhub靶机:TOMATO_ 1_第12张图片

  1. 反弹shell

很尴尬,使用了多种方式,就是弹不回来;想上传可以反弹shell的文件失败;最后本地开启web服务,下载反弹shell的文件才成功。
Vulnhub靶机:TOMATO_ 1_第13张图片

Vulnhub靶机:TOMATO_ 1_第14张图片

Vulnhub靶机:TOMATO_ 1_第15张图片

提权

介绍使用提权脚本:linux-exploit-suggeste

  1. 获取提权脚本

  1. 投递脚本

Vulnhub靶机:TOMATO_ 1_第16张图片

  1. 准备提权

第一个脏牛的不行,换用第二个试试
Vulnhub靶机:TOMATO_ 1_第17张图片

  1. 开始提权

由于靶机没有gcc环境,因此kali编译完成后投递到靶机上
Vulnhub靶机:TOMATO_ 1_第18张图片

总结

Vulnhub靶机:TOMATO_ 1_第19张图片

你可能感兴趣的:(靶机,Vulnhub)