前言

靶機下載地址：https://www.vulnhub.com/entry/tomato-1,557/

KALI地址：192.168.94.108

靶機地址：192.168.94.30

一.資訊收集

1.主機發現

使用命令如下，進行發現主機

netdiscover -r 192.168.94.30

如下圖發現靶機IP地址

2.主機掃描

這裡使用的工具是Nmap來進行的主機掃描，使用命令如下

nmap -A -T4 -p- 192.168.94.30

如下圖掃描結果，發現開放了21,80,2211,8888埠

3.目錄掃描

既然開放了80埠，那麼肯定要進行一次目錄掃描，使用命令如下

dirb http://192.168.94.30
 

掃描結果如下，發現並沒有多少東西，但是感覺第一個有東西

如下圖訪問目錄antibot_image目錄，如下圖，發現了一堆東西

4.網頁資訊收集

其實經過搜尋，看原始碼，看網路，在http://192.168.94.30/antibot_image/antibots/info.php這個地址下面檢視原始碼發現了東西，如下圖。

二.漏洞利用

1.檔案包含漏洞

經過上面資訊收集，我們發現antibot_image在這個目錄下面有一堆東西，然後看程式碼include是包含，如下圖經過測試發現擁有檔案包含漏洞，這裡的測試是讀取/etc/passwd

在思考如何利用的時候，想到，可以嘗試讀取/var/log/auth.log

/var/ log / auth.log 這是一個文字檔案，記錄了所有和使用者認證相關的 日誌 。 無論是我們通過 ssh 登入，還是通過 sudo 執行命令都會在 auth.log 中產生記錄。

先說思路，思路是往日誌檔案寫入一句話木馬，然後連線，寫入方法就是使用一句話木馬來作為使用者進行SSH連線，這樣auth.log就會記錄我們的登入，一句話木馬也就被寫入進去了，先檢視是否能讀取這個檔案，如下圖，發現可以讀取。

接下來就可以在日誌裡面寫入一句話木馬了，如下圖，使用ssh連線失敗日誌寫入一句木馬。

然後我們使用蟻劍驗證一下是否有資料連線，是否成功，如下圖，發現是成功的，url地址是http://192.168.94.30/antibot_image/antibots/info.php?image=../../../../../../../var/log/auth.log

然後我們右鍵在此開啟終端，如下圖。

三.提權

首先來三問分別是id,whoami,pwd如下圖。

經過一番探索，指的是看tmp目錄，看網站目錄，看home目錄並沒有發現什麼東西，我們檢視系統版本，使用命令如下。

uname -a

如下圖，發現是4.4這種版本的，我們順便檢視issue資料夾，發現是16.04版本。

我們在KALI搜尋一下使用命令

searchsploit 4.4.0-21

如下圖，搜尋到了利用條件，但是經過測試之後，發現失敗了這裡用的是44300.c

於是去github上面了一下，連結如下,選擇的是CVE-2017-6074

https://github.com/kkamagui/linux-kernel-exploits

如下圖，已經下載到kali裡面

然後我們在kali執行sh檔案編譯，如下圖，編譯成功之後會生成一個檔案

之後我們在KALI開啟簡單的HTTP服務，然後在再靶機上面執行即可，如下命令，開啟的是KALI的apache服務。

service apache2 start

然後我們把生成的檔案放在網站目錄下面也就是/var/www/html目錄下面即可，使用命令如下

cp CVE-2017-6074 /var/www/html/

之後我們回到靶機，在tmp目錄下面使用wget命令下載kali剛剛複製的檔案用來提權，順便賦予777許可權，方便操作，如下圖。

然後我們在靶機執行即可，但是執行失敗，一執行我虛擬機器就直接卡死了，啥也沒提醒只有重新啟動，但是根據網上其他WP來看，這一步是成功了。

四.總結

個人總結，學到了一個東西，如果可以檔案包含可以嘗試包含/var/log/auth.log如果能包含，就可以ssh連線寫入東西嘗試一下。