VulnHub-SAR
参考链接: /video/BV1aX4y1r7JT
使用arp-scan -l扫描局域网内存活主机
发现主机
(相关资料图)
使用nmap扫描主机开放的端口
发现主机开放了80端口的http服务
使用的是ApacheHTTP
使用nmap漏洞脚本扫描主机
扫描结果显示http服务有铭感路径泄露
尝试访问
主页面显示的是apache2默认服务页面
似乎没有其他信息了 只能通过爆破网站目录
也没有爆破出其他信息
尝试一下刚才在里的提示
访问目录
发现了一个新的页面
左上角点击New可以上传一份报告
尝试抓包文件上传
返回包里没有提示文件路径
看到url里有
猜测存在注入点?
暴力注入不可取
可以尝试其他方法
猜测一下 这里有命令注入 没想到成功了
(searchsploit也可以找到漏洞利用脚本和提示:
这里提示; 加上分隔符即可RCE
还有一个python利用脚本
)
可恶 竟然不让我反弹shell
试试让靶机下载执行
开启http服务 利用RCE wget文件
这里发现无法上传php文件 tmp目录也不给看
难道有过滤?
试试上传一个txt
txt是可以上传的 可能真的有过滤 不过wget可以修改接收后的文件名
成功 回到url中访问后门
发现已经接收到shell了
发现home目录下有一个love的文件
没有办法使用su 不能尝试横向提权了
suid也没见到
发现计划任务里面有一个以root权限运行的shell脚本
每五分钟执行一次
这个执行的是
www-data拥有修改的权限 那就可以编辑一下这个shell脚本 里面加一句反弹shell
当root执行的时候会顺便把权限转发过去
由于在这个shell里使用vi很不方便 所以本地修改好以后让靶机下载
注意开头改成#!/bin/bash
给权限
Kali开启本地监听等待接收shell
经过了5分钟后 kali的nc接收到了连接
用户是root
这些md5应该是flag