中国网络渗透测试联盟

标题: Linux本地包含漏洞入侵国外网站 [打印本页]
作者: admin    时间: 2018-10-20 20:17
标题: Linux本地包含漏洞入侵国外网站

7 l% `3 B1 G0 r1 l% q 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php 5 Y7 T1 ~9 F y L) r$ ^, G. A

0 r2 v$ r. ^+ B% g

* {9 e8 @: R9 a" }7 t8 @# d: Q/ h  " R$ R$ ~ m! ]

/ g: K. P) h( T, t6 ~

: r% g& t5 y+ {# Z 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞0 ^: K( J3 h$ p' i" [

3 M: z% a* ~& z8 e. j8 }" }

9 v* x1 @ S$ P) i  0 C% H. f9 J/ i: t$ }5 b% C

; C5 I& M) e$ I8 C/ M) W8 N6 p

% f# _3 p; K" d. m 没能直接包含成功,试试报错3 G; h O4 \+ X) h' N

, |, `2 w7 g7 r$ o( W0 I

% A/ Y8 O7 v) l# _! u9 n   " x9 Q& Z! t) j( F* H' {6 g

5 c* N& }1 W5 e: r) a9 W% E

5 w' ~, T3 C% }( Y4 ?4 a  " n% |+ n+ O, M' q. K! b

& Y3 }7 [/ i% W W5 U: S

* O; D3 ]: P! a+ G% @% ^- m# X; Z  3 r" ^8 V4 ?: d) A/ b

0 z" A' w# h7 {. j

6 {4 ^$ j1 W/ n+ N  6 v9 B+ L5 j: Z4 b. v% g+ _& W

& Z' T; z5 ?- c/ ~2 M

. E) t3 a+ n) ~3 e   $ C2 M2 Y7 m# V

. O, i& M; E. s7 @4 _1 ]

" w% n# P& l- m* k6 s4 M l  # a9 x' h/ c7 U7 p. p& X/ e u: q/ }

! ~* i# G: Q& G* W, c9 C

# W( h5 S& f- J" p( G" L8 G7 {  7 x$ s D2 y$ z

! ]& D5 l* \+ a9 U4 L

9 N" ?# W: V- S% a4 S   8 y- w0 q2 X- e, w2 ~2 x/ q2 d

/ A, |0 M0 _- b

& N2 Y& o5 E+ {- f* D 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了 - ^( g/ H2 p" A! x9 s2 s

4 ^. X6 N( u2 P" R0 o5 T

) d4 M6 H6 E$ }: d' Z  $ G G: n8 W) `! A

' {: a7 D& W1 c9 j3 F9 o& z

1 w: r7 Y. o. [) s# z* }9 D- n 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ # z1 g N/ R$ G1 E; Q# |" Z6 I6 I& [# M

: J" n! @% O1 v

- {3 p) }& d8 g   , f; s a" {& S# B: P* z

: f. E+ D& x3 C( I# F! G

' Y. Z& }' ~, {9 A4 M9 x: X% i   ) t$ G2 k" l" |$ i; o; ^6 I

9 @& [3 a( H7 u$ w

4 T6 A; i9 v5 ^6 E' q; w8 o   ' d& J, r0 n$ |: M$ t$ Y) v8 \

8 s% q5 t, E$ e1 c+ r: |6 W) E2 U

+ M9 D! B4 Q5 y4 L+ ?$ f 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞 5 B" y- ^1 V* ?; d

# d: X: ^( _: l, L% T, [1 [9 q

. g' n" `0 j9 D 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite 9 G. n* X" ?- a- D( ?

. ]4 Q* U: d' a+ J; R: \9 \! s

) x0 I# w4 f! r0 K7 D   & [; ^- }3 W& M$ e& N( W8 t9 l

, [' j$ b& O ^; d

+ l4 I8 W) k# |0 _% s8 s 然后发送到intruder, ) k: u u3 P" f" G8 V- u* X

" q0 \; v3 J7 B \9 h" w

: S$ V i# u; u- o1 w   4 N# u3 v$ s+ g$ z

! n" y- @# a" \% ^

3 e6 E2 o- d! @/ N/ Q! b/ q Clears(清除变量)重新设置变量 + W3 M& w" B C) Q

: R, t2 A& r7 X' W$ u( g* i

. h: @' M+ ]3 Z* [. O5 _   $ }; _* F% p0 h# Y' k* T# L

; V+ R# l# _. {/ y0 H1 m ^

9 I; ?7 x5 [" H/ [0 \ T  6 h! U4 j' G& S q

1 k7 s) R5 Z+ `1 ], N

- _1 `& K) J+ |9 U4 W 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,: L- i" l# ?# J0 z% s

8 [, ]1 ^( p* X

7 [$ z. _9 _ J ?$ e  - p' r1 w, D9 y+ w

4 f E" [" M! q$ m8 B/ M) C

" @! ]" P+ p. \6 @1 F   $ C7 R7 _" N; E) D7 r( c

6 A- P! W0 j4 @$ }1 v( {

: B# {7 M) }1 [9 R! q6 q3 b
( V7 Q* X% ?. A# ?1 ` 9 f' ]5 h. T; D

0 o/ C4 r- F! [. B$ [

: Q ] o @ F: f; V6 k 使用正则批量替换,替换%00为 $ r+ t, f! J4 i @- o4 `

% B) A7 {( y9 q" h; R

( A# T+ j9 z3 z7 I' }; i* W% ?- t  ) j8 S& y: B( v8 S# a& R1 ^% x

6 o0 L, f! [* G" m

# c2 ~. x: i& H0 w4 }! c8 f 下面用迅雷开始下载 ) e& D- a% W$ W0 V: K: M! ] c

) h+ o- M# }; F$ r8 x0 {; V9 B, c

+ o( R1 c' p0 P$ U3 x2 r' I   , v- j9 B0 Y4 y' A' [

9 ^: c Q5 _5 F+ n1 t4 q+ h0 k. k

f( Z) n) q! h) n* _ 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:& }0 E9 ^4 T7 k

5 n/ T5 G2 J4 O$ @

% h/ O( q7 @5 g2 R: \/ n: K   . R4 S' h& {3 w8 B: P* O1 _

( \$ d) O2 w7 |

; n3 G, I/ A: h, d3 j# `9 T8 p 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:5 _/ F; [+ g7 }) t' V' a/ n( {

; g3 B* Y( f' ]* J& P B0 f

! c z& t" |5 a' e( q* ]  . V4 t+ |$ _" e G( u

9 R* i# v6 l; J2 V& ]. I H' K; N. R2 x

+ v s9 _9 E3 b* b- _& j6 M6 @   $ s6 d2 T/ Y0 B. Y- D

$ i' N0 } y+ M q* [, F$ v7 O& F( L2 V

% m; \) D$ [* e4 T( ?9 l, _: D/ S 然后上传图片一句话木马如图7 Q* ]6 O1 t* V: t& U( J+ P% U

0 j* W6 h( O! B3 A0 Y' o7 `% g

) j; e7 X3 m |- A' M1 k  ; E/ H+ i. ]& k7 \2 {9 R1 r

0 N6 U5 ]2 H8 ^8 f- y

6 f7 f1 X) h1 _ 下面我们来构造一下包含url : H8 `, m- ]" Z- f# C

* j/ h( W1 t- O/ P8 {# E" B

5 X) C0 e( K( S0 i2 C, S# E http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) $ }6 M0 C, o# o$ g V( s: q- ?

7 \1 H Z: y% c

`* o( A) C1 {4 o 下面我们用菜刀连接一下, 2 \- r$ M# B% w' h% p6 X

: q! X9 R8 ?3 u1 a! n3 d3 {

: o P) H) R& g7 K/ `6 t  : o- q" v0 ^, A- {6 ~' \; U3 a

; c$ J* t2 \! {2 [7 R& U0 E- f1 M

. d( O% n) ]2 H% m( G1 m OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子 ; _/ j8 N' [# d' J/ S0 w





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2