|
/ f0 w1 S; F& C4 x. X 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
) f# S; c8 e$ z' M: K1 z
0 S# T8 ~9 ^- f, }. |3 K
& w. G; Y2 y3 E9 W, |  6 b( U9 h: W# p
) \3 l' \* _4 s% ~' k7 b; N3 ^% C5 a1 C3 w- v. {
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞& y8 t; j1 u: `
3 ~& S9 C" N0 |. ^
6 ?+ x% K, l8 x3 p* q 
( l8 a$ ]# Q- K' w' u: | 7 _& M4 _, V# Q0 H, z. v
# @& Z7 n2 p) f7 N! h4 R5 }$ K- v
没能直接包含成功,试试报错
9 V3 l( \5 z- B) z6 j" L3 b ( T6 ?9 O% C& R9 J
$ D2 Z) s: R0 b
" M! W5 U! {9 T2 b6 f+ c$ N0 i : ]' W# \# f% u( @, s7 M
3 g! A: e$ ^# `
h) W M# N" T8 c' z- Q* n! G
! O, |5 `7 R! ^2 n. I; |& Z0 d
& p) Z3 H7 D8 L; E
, ^ K( [+ m7 t
* r7 D& O9 o; Y V. |! t
8 b( ^" t6 N+ ?+ }' |* ~1 r / L7 A ?1 R7 V
6 `% E) {8 |: N! O2 ?. K# e0 b) ^, H, k' i, i; |6 o
$ h- i5 P$ f- n, F' j0 ] ! Q3 S9 q. s0 c3 w' h
) O7 K* R- |( d A& q
0 H' _+ {/ d" i+ k0 _) v& `
p/ M. s3 ?9 ]$ Z* u- A* G
: S, ]# X+ f1 d- q( b/ |5 t
: f& y$ L" b- Z ! M8 |* K: T: o# t# i0 Z
7 _% A1 K; C; `
 / i. m$ q# _* }) \1 n9 r8 _
9 N Q) ~0 h4 D2 z2 x9 J
I* F" b, Z9 _
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
5 p7 Y( B0 H: Z" a6 r 1 s, A6 G" i2 a* W4 j- V
! G7 m; }8 r( ]
+ T' ]5 G( g* K( _: }- R8 E
8 _6 Y: g1 t2 w* ^/ A' K( W
3 {- U% z5 B( o8 m2 a 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
; W+ F+ J2 ` L
- T$ ]7 H! V5 g- ?. g1 }
. {8 J0 g# j! ]% D  " I! K7 r* {5 u5 b( m
) d/ O6 B' f1 F- Z/ I6 h( J. b
9 g7 p, R q2 T* U) s% d: N' T4 M
( l" T( m' k j" G+ x" ~ * Q5 l: a7 N8 P3 g' p
: z" u5 ~$ o* L4 M ; }3 g, s% Y: H9 @6 ?
5 T7 k4 M* F3 H. j+ b0 l
$ f: s* M, a+ t/ M- F0 Z9 U: ^
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
; g0 x2 C5 k5 G! E ' K/ ?# w# n L/ N3 v/ j
6 A. D5 p8 z8 h1 H m8 N3 Q& q
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite! g/ C5 [' R* _+ u5 U; I( ^0 ?' n$ g) m
- l0 s$ b- H" R, @
1 k/ x& {+ _, F% I' |7 k' d3 M
 ( {" i H# u' p9 G
( z5 L1 A8 x! B6 s5 L- c7 H3 F+ @0 X/ N& Z: x' s, V# g1 Y
然后发送到intruder,$ v' I: G1 y$ V1 l# L
# m V8 p; W! I
b- J ~1 w9 O  0 X4 {% ]& R( l$ y
7 o8 m# A L+ Y _! n/ y% C9 ]- b9 w6 ~$ t' F1 ?
Clears(清除变量)重新设置变量- Z; X- `( E: [0 M. H @
) z. e+ P5 O/ {0 `
) _+ |# j$ q$ X* q$ s( E
1 E' I0 E, a; a% d 4 f) k o; N- ]
. w% @! `( T- o* W, s/ ^. m
/ T4 u" v, S3 V/ D% b9 l- I
* F: _9 O, B0 n* b+ W6 V
$ x7 p5 Q+ T9 g; x% u8 {& F6 T 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,) P z# ^) V, A
: a2 T, x& Z9 S9 ~6 Q# t
- w. o; h& f2 Q2 r5 x5 l D6 G- p2 H9 \: f+ C
( R: y7 f$ K/ ]; t1 N. e1 h
0 l4 e, o3 G5 K
7 ^5 C; c) |! V% D
' P6 `% T, X' `
8 ~+ N& C2 \" B$ Z: e
7 Z4 g7 ^& ?; ~7 }. O3 n
 - Z. R! T* M$ M g1 I6 v: s8 |
. w8 j$ G7 M/ r7 X6 Z+ C
1 Z, l: R5 Y( U. r5 F
使用正则批量替换,替换%00为0 b; a) Q3 |% D( T: ~1 o1 i
5 B; g" g4 \- l) [9 P8 s- [* C* n; {
/ H% D1 [2 I4 E8 _
9 _. I* r; o& G" V3 u/ p8 g
/ C9 D5 V$ b r" ^ 下面用迅雷开始下载
6 c5 U( Y7 x3 n1 y' F4 P4 l) G+ ~4 J3 b / Y& [) O$ @. w% \
# \* }( ~8 b. R3 P& Z. _
: A; ?$ Y+ n' N$ t
5 }/ U N- [ n- v( r. V L' H7 e) N& x6 s+ K+ R
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
/ |# Z. h( S* P
, I3 @3 @% _$ I& M, w9 i* r; h! Z
% V6 S% r/ K* K+ i- a, E7 J5 s  % L0 l) m* B1 J
4 M, t" c/ c+ u4 [* x: Q% p" x' j' B& G# ]1 q
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:' v, w3 U- L+ G9 v
, H" C/ R" Z& j- I5 ]8 N& h; T* G9 L, ^: w$ S( n0 Y# f# q& r4 ?9 p
 * T- B) w/ Q% @4 o- z2 ^0 J, A
6 J+ T2 t" R' ?4 i8 [4 t: l0 ?. H
 & u0 X: a. X, A+ y' [. M! h5 X
+ \( M' Q3 P3 z2 `# `
$ t9 L$ O* V q: o. j
然后上传图片一句话木马如图0 K6 G% F1 A u5 {' Q% m: w% P
3 M; a' q& `( Z( k, N0 O. t: e! ^+ J- A3 k
 1 s3 s' W* ^4 n* b/ U
, e: J) }# Y' y" P
' [5 r, j6 v- K: R3 c v% R 下面我们来构造一下包含url" L) V$ h; M5 ]1 j" y
7 V4 U9 Y; q6 J9 L7 F
( s$ X% F; G; R2 X% I. I* c http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
2 n( Q, B" {; _9 |
) l. R# m4 V- n5 b* a1 U# ^3 I5 r* f8 r' C" _
下面我们用菜刀连接一下,
! f5 p3 Z4 P# R; K 2 b: N8 [8 }. M+ ^7 O
' V, [# y. A# L ^' G 
+ s0 r4 Z" o" F
( {7 T: d e9 D1 p8 H- ? z% S* f5 u8 Y& J; [2 `
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子) Q; X$ h) R b3 K" Q
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}