Vulnhub靶机：TOMATO_ 1

介绍

系列：Tomato（此系列共1台）
发布日期：2020年09月14日
注释：使用vmwar workstation运行虚拟机
难度：低
目标：取得 root 权限 + Flag
攻击方法:

• 主机发现
• 端口扫描
• 信息收集
• 路径爬取
• 文件包含
• 写入日志
• 内核漏洞枚举
• 本地提权

靶机地址：https://www.vulnhub.com/entry/tomato-1,557/

信息收集

主机发现

netdiscover主机发现

sudo netdiscover -i eth0 -r 192.168.239.0/24

主机信息探测

nmap -p- 192.168.239.140
nmap -p21,80,2211,8888 -A 192.168.239.140

网站探测

开局就是一个静态页面，没啥东西，访问8888端口，是个form表单，爆破无果。直接目录爆破80端口

目录爆破

使用dirb递归目录扫描和dirsearch目录爆破，没有发现任何有价值的信息，更换字典使用gobuster扫描出一个敏感目录

dirb http://192.168.239.140/
dirsearch -u http://192.168.239.140/ --full-url -R 2 -x 404 --exclude-sizes=0B
gobuster dir -r -u http://192.168.239.140/ -w /usr/share/SecLists-2022.2/Discovery/Web-Content/common.txt -t 100 -e

打开页面后，发现了phpino页面，打开之后burpsuite检测到了一段html注释信息，好家伙，这不是经典的文件包含测试代码吗？

测试一下，果然是文件包含

文件包含漏洞

首先确认到靶机是不支持远程文件包含的，我尝试获取tomato用户的id_rsa私钥，结果获取不到。

既然只能本地文件包含，那就先一把梭吧，看看都是能看到哪些文件，字典我选用了SecLists-2022.2\Fuzzing\LFI\LFI-gracefulsecurity-linux.txt，结果发现了/var/log/auth.log。

这是一个文本文件，记录了所有和用户认证相关的日志。无论是我们通过ssh登录，还是通过sudo执行命令都会在auth.log中产生记录。因此经常被写入shell。

写入日志拿shell

1. 首先验证能写入内容，发现日志里面确实记录了我刚才的ssh登录内容

2. 写入一句话木马：ssh ''@192.168.239.140 -p 2211

发现使用“lainwith”登录ssh时，有日志记录，使用一句话木马的时候没有日志记录，说明一句话木马没有当作普通文本处理，而是当成代码执行了！【即：一句话木马当作代码执行时，日志里面才会没有记录】

3. 连接webshell

很尴尬啊，nc不能用-e才能连接，一旦连接就会瞬间断开连接，只能换用别的了。

4. 反弹shell

很尴尬，使用了多种方式，就是弹不回来；想上传可以反弹shell的文件失败；最后本地开启web服务，下载反弹shell的文件才成功。

提权

介绍使用提权脚本：linux-exploit-suggeste

1. 获取提权脚本

2. 投递脚本

3. 准备提权

第一个脏牛的不行，换用第二个试试

4. 开始提权

由于靶机没有gcc环境，因此kali编译完成后投递到靶机上

总结