靶机下载地址:https://www.vulnhub.com/entry/tomato-1,557/
KALI地址:192.168.94.108
靶机地址:192.168.94.30
一.信息收集 1.主机发现
使用命令如下,进行发现主机
netdiscover -r 192.168.94.30
如下图发现靶机IP地址
2.主机扫描
这里使用的工具是Nmap来进行的主机扫描,使用命令如下
nmap -A -T4 -p- 192.168.94.30
如下图扫描结果,发现开放了21,80,2211,8888端口
3.目录扫描
既然开放了80端口,那么肯定要进行一次目录扫描,使用命令如下
dirb http://192.168.94.30
扫描结果如下,发现并没有多少东西,但是感觉第一个有东西
如下图访问目录antibot_image目录,如下图,发现了一堆东西
4.网页信息收集
其实经过搜索,看源代码,看网络,在http://192.168.94.30/antibot_image/antibots/info.php这个地址下面查看源代码发现了东西,如下图。
二.漏洞利用 1.文件包含漏洞
经过上面信息收集,我们发现antibot_image在这个目录下面有一堆东西,然后看代码include是包含,如下图经过测试发现拥有文件包含漏洞,这里的测试是读取/etc/passwd
在思考如何利用的时候,想到,可以尝试读取/var/log/auth.log这个文件,这个文件用处如下,下面这段话是网上找的。
/var/ log / auth.log 这是一个文本文件,记录了所有和用户认证相关的 日志 。 无论是我们通过 ssh 登录,还是通过 sudo 执行命令都会在 auth.log 中产生记录。
先说思路,思路是往日志文件写入一句话木马,然后连接,写入方法就是使用一句话木马来作为用户进行SSH连接,这样auth.log就会记录我们的登录,一句话木马也就被写入进去了,先查看是否能读取这个文件,如下图,发现可以读取。
接下来就可以在日志里面写入一句话木马了,如下图,使用ssh连接失败日志写入一句木马。
然后我们使用蚁剑验证一下是否有数据连接,是否成功,如下图,发现是成功的,url地址是http://192.168.94.30/antibot_image/antibots/info.php?image=../../../../../../../var/log/auth.log
然后我们右键在此打开终端,如下图。
三.提权
首先来三问分别是id,whoami,pwd如下图。
经过一番探索,指的是看tmp目录,看网站目录,看home目录并没有发现什么东西,我们查看系统版本,使用命令如下。
uname -a
如下图,发现是4.4这种版本的,我们顺便查看issue文件夹,发现是16.04版本。
我们在KALI搜索一下使用命令
searchsploit 4.4.0-21
如下图,搜索到了利用条件,但是经过测试之后,发现失败了这里用的是44300.c
于是去github上面了一下,链接如下,选择的是CVE-2017-6074
https://github.com/kkamagui/linux-kernel-exploits
如下图,已经下载到kali里面
然后我们在kali运行sh文件编译,如下图,编译成功之后会生成一个文件
之后我们在KALI开启简单的HTTP服务,然后在再靶机上面运行即可,如下命令,开启的是KALI的apache服务。
service apache2 start
然后我们把生成的文件放在网站目录下面也就是/var/www/html目录下面即可,使用命令如下
cp CVE-2017-6074 /var/www/html/
之后我们回到靶机,在tmp目录下面使用wget命令下载kali刚刚复制的文件用来提权,顺便赋予777权限,方便操作,如下图。
然后我们在靶机运行即可,但是运行失败,一运行我虚拟机就直接卡死了,啥也没提醒只有重新启动,但是根据网上其他WP来看,这一步是成功了。
四.总结
个人总结,学到了一个东西,如果可以文件包含可以尝试包含/var/log/auth.log如果能包含,就可以ssh连接写入东西尝试一下。