靶机介绍
1)靶机地址:https://download.vulnhub.com/tomato/Tomato.ova
2)靶机难度:低
3)打靶目标: 取得 root 权限 + Flag
4)涉及攻击方法:主机发现、端口扫描、信息收集、路径爬取、源码分析、文件包含、写入日志、内核漏洞枚举、本地提权
5)靶机简介:本次的靶机是一个低难度的靶机,靶机中反映了一种非常经典漏的洞利用方法,众多服务类型都会默认开启日志记录的功能,日志中可能存在大量来自客户端的访问请求或者机密信息。如果WEB应用中存在文件包含漏洞,则可利用其读取其他服务的日志内容,结合向日志文件中注入的攻击代码,则可能直接造成代码执行,从而突破边界获得目标系统的基础权限。当然要想实现突破,细致入微的信息收集和枚举永远都是不可或缺的。提权阶段通常同样需要大量的信息收集,这往往是很多同学相对薄弱的领域,本次打靶使用一个提高效率的工具,让提权尝试更具有方向性。
6)注释:需要将本次靶机下载后,导入到vmwar workstation运行虚拟机
打靶过程
1)主机发现- # arp-scan --interface eth1 172.24.10.0/24
2)端口扫描
①对目标靶机进行全端口扫描,发现开放了很多个端口
②对发现的端口进行服务版本、漏洞扫描- # nmap -p21,80,2211,8888 -sC -sV 172.24.10.130
③针对svftpd3.0.3版本只有一个拒绝服务的漏洞,没有可以远程执行命令的漏洞,无法直接利用
④2211开放的是ssh服务
⑤8888端口开放了http服务,使用nginx的1.10.3版本
⑥80端口开放了http服务,使用Apache的2.4.18版本
3)8888端口信息搜集
①通过浏览器直接访问目标靶机:8888端口,弹出登录框需要进行登录- http://172.24.10.130:8888/
②尝试进行弱口令登录和暴力破解,均为成功获取到用户名和密码
4)80端口信息搜集
①过浏览器直接访问目标靶机:80端口,发现是一个西红柿图片的页面
②查看网页源代码,未获取到任何的有用信息
③对目标靶机80站点进行路径爬取- # dirsearch -u http://172.24.10.130 #默认情况为爬取出任何信息
- # dirsearch -u http://172.24.10.130 -f -e php,txt,html #使用特定后缀也未爬取出有用信息
- # dirsearch -u http://172.24.10.130 -w /usr/share/seclists/Discovery/Web-Content/common.txt #更换字典后,爬去除了一个301的站点
④使用特定字典,并使用特定后缀爬取- # dirsearch -u http://172.24.10.130 -w /usr/share/seclists/Discovery/Web-Content/common.txt -f -e php,txt,html
⑤对爬取出的站点进行访问- http://172.24.10.130/antibot_image/
⑥通过antibots目录下的三张jpg图片可知,目标服务器对机器人或者爬虫的行为进行了过滤,使用的AntiBotPlugin.com插件,搜索发现该插件是专门用于wordpress应用的防护,防护机器人或者爬虫来爬取站点中有价值的信息,发现爬取行为后,该插件会拒绝
通过搜索未发现,该插件的漏洞,但是可以得出目标应用是基于wordpress进行搭建的
⑦继续在antibots目录下进行信息搜集发现,发现存在一个php.info的文件,打开文件,发现里面记录了php的安装路径等信息
⑧查看php.info的源码,在源码中发现对" |
