本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機下載之後使用僅主機模式載入到本地VMware Workstation工作站，需要發現目標靶機的IP地址，可以使用nmap，netdiscover，或者arp之類的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 當然也是可以使用Windows環境下mac地址掃描工具都是可以的，那麼本次演示就是arp-scan工具發現

地址:https://www.vulnhub.com/entry/sar-1,425/

根據掃描結果開放了80埠，使用dirb http://192.168.56.105

發現猜解出來上述目錄，訪問robots.txt檔案找到一個訪問路徑

直接訪問這個地址看看

在谷歌和GitHub上搜索關鍵字，發現此版本剛好存在遠端命令執行漏洞和檔案上傳，具體演示如下：

遠端命令執行：https://www.exploit-db.com/exploits/47204

檔案上傳漏洞：https://github.com/cemtan/sar2html 這裡的檔案上傳沒有任何過濾，並且這個GitHub地址上給出了預設路徑，嘗試預設路徑可以直接知道上傳shell的路徑

shell的路徑就是上面GitHub地址披露的路徑

http://192.168.56.105/sar2HTML/sarDATA/uPLOAD/shell.php

同時上傳一個反彈的php-reverse-shell.php

知道計劃任務是可以提權的，那麼我們直接找到這個指令碼，發現裡面是執行指令碼write.sh，那麼我們直接echo執行php的反彈shell

echo '#!/bin/sh' > write.sh
echo "php /var/www/html/sar2HTML/sarDATA/uPLOAD/php-reverse-shell.php" >> write.sh

最終沒有問題的話，直接反彈成功root許可權的shell