SAR靶机wp

扫描结果

target ip:10.10.10.134

只有一个80端口，看一看TCP详细扫描

nmap脚本扫描

扫出了robots.txt

初始权限

访问http服务，看到是一个默认的阿帕奇页面，查看源码发现无隐藏信息

直接访问扫出的robots.txt

得到一个字符串，推测它可能是一个目录，一个凭据，或者一种CMS名称，用户名等，由于是在robots.txt中发现的，是目录的可能性比较高，目录拼接后访问

sar2html Ver 3.2.1，可能是一个cms的版本，在searchsploit或者网页上查找是否有相关漏洞

有远程代码执行漏洞，先拷下来看看

先看txt文件，似乎是先需要一个用户认证才能利用

再看看py,先直接运行看一下回显

不需要凭据似乎可以直接利用

查看它的源码，大致原理是

服务器会执行plot=;[攻击者命令]这种拼接后的命令

不妨手工验证一下，可以正确利用：

先尝试反弹shell，开启攻击机的1234端口监听

这里开始反弹shell没有反弹成功，回想脚本原理，给payload加一个urlencode,反弹成功

提权

先优化一下tty

开始枚举

sudo -l需要密码，不可行

suid，查看内核，查看用户信息

suid乍一看没什么可以利用的，内核版本很高，应该不可行

/home/love目录没有看到可利用的隐藏文件

查看定时任务：

发现了一个root的sh脚本，每隔五分钟执行，查看其权限

可读可执行，cat看一下

发现该脚本执行一个名为write.sh的脚本

而且根据脚本的写法，判断应该是在同级目录下，进去看看

是一个权限很低的可写文件，所以这里的提权思路就是，通过在write.sh写入指定命令，让定时任务自动以root权限去执行，应该可以写一个反弹shell，时间一到，root执行反弹shell，攻击机监听成功反弹root shell

这里让它以root身份打开一个shell应该是不行的，按AI的说法，因为cron 是后台服务，没有连接到任何终端（TTY），即使让它运行 /bin/bash，这个 bash 也无法弹出交互界面，因为它没有终端可以依附，所以直接反弹shell试试

等几分钟回来看看

提权成功

总结感想

这台靶机资产很少，不需要判断攻击链优先级权重，比较线性的打法，但是总体来说思路很经典标准，值得练习巩固

hexo init Ex1st
git config --global user.name "Ex1st-hash"
git config --global user.email "camoaurora@gmail.com"

git remote add origin git@github.com:ex1st-hash/ex1st-hash.github.io.git