|
- o7 s; o! J1 {7 v3 t# q
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php 8 X& @0 F" _) x# V1 w, R
5 d, E7 u9 Q/ G4 M: [( m0 E* g
# t( d$ U) D+ l/ w) X7 S
1 s( y( ]; U9 q( l( q! N2 }& B
! t3 m2 \2 q# w6 A( M' ^8 h- Y+ C2 X& H/ k: [. z* x
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞% t& g% i: J* ^0 L+ z$ r: I
6 @7 @* Z# T- h P
- Y, f, j: z: n" w* ^5 s, V K 
4 T& a% r' h# H: ]6 \
; O& K% U$ n% S. i+ y
5 S2 C, E$ L# z( ? ?. M 没能直接包含成功,试试报错* E! B, P) C: k* W: n
9 v) F4 v3 W- ^% d
@ u- v$ n6 }. V7 ?$ w * y J# u7 S7 p. B' J! }( c
& C2 b- R" j, R/ e2 Z5 G
$ t) H* B+ _, x6 v" Z, h
+ T$ [ e* Z+ [0 |. _& N 4 w4 W% f+ h4 C1 y
0 k% z; Y3 _+ C3 d) ?
" i4 f' |1 t! }$ x% _
1 Q: S: B0 [# p6 j4 v7 V& m8 L- M5 j0 ~* T7 x
/ j$ B5 V" H2 W; R x4 A
* O4 k7 B2 b- J
5 f6 d6 d7 P H6 c8 B3 J & J7 z, P: _5 `6 @, z6 l- f
6 [8 `3 M6 N7 j
* j8 j5 w# W9 U
0 h0 V! l: ^- L
, b6 ]- V m* T9 R8 ?/ Y) p' W1 o4 b6 p6 Y9 t* P3 p
# q" r: ^7 o. K8 M8 T: O$ ^/ F8 M
! @: K- f6 ^ r9 K. c% ]* A; s1 J6 u" |+ \* \9 R- d8 R
1 }7 n; _1 B @4 V4 l
$ S) c- q# S1 Z' J" R2 ]3 E6 W6 e/ b9 S6 q
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了: i; f) y! q" \+ o# z( A4 P5 N& f+ X
i* R1 n3 U) W3 p! y
! ^+ K+ s2 o. K8 j; L+ U. \% D 
- G+ ^8 c1 q: l) L$ \% C # d7 F1 w* g7 d% R2 ?: v/ G! ]$ s
# e% _: u4 S# ?+ W; K1 e 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
6 m' \1 ]! k1 b" P) I, T ! h- O: Y3 R* ]8 K7 i% T
$ ]& Z' w& S% m" |- @4 I' Z& L+ W' y 
3 t) I' L+ n! i( G, Z- p9 S 8 y. g, \3 ^/ t) a
7 ]' q2 I: T+ n/ c* N" c* i
* d# y- e) s/ E, c+ d' X % z/ v) p7 P# n/ O6 w2 h
* I6 v0 z6 q' d9 z4 m* ?- a6 H
9 s0 ~# g! ]3 l% e4 I6 A
$ p2 f: Y: O9 {! S3 H+ a4 D
; w/ W: A+ ]6 o0 C 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
8 L8 z* {4 o. J) Y3 V0 f3 M- i( P ; G+ |) l5 w9 `" L( O( h
; g r2 U; N& g; ~7 i7 T# ^ 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite$ z4 Y1 @6 Z* t; j2 W( Y$ ], b
2 @) h1 A1 R0 g. R8 ]# r
3 b* U7 W) G; |: Z5 Z- n# {
/ b8 a" I" h3 W7 u' H# D7 O* d
' R: U1 b: C5 T0 `4 }8 [2 T5 B! u# [: f8 Z3 R# s
然后发送到intruder,
( p) e( r( w7 L: y9 x0 y
) P k2 s. d+ b) M
# K. u7 p' {7 ]6 |, p) o 
; z4 `0 d& o) j
9 ]; |0 `( V3 c5 v$ v. W& A" n. ~: C# X6 G3 }! k3 q6 v/ P/ V
Clears(清除变量)重新设置变量
4 \7 X2 b- Q: ^
. q9 \: p' _0 H2 d! _ G8 G! M* W+ }' n7 i& b
 ; E2 `: U w) Z. _- g; W
6 W; o6 s9 }6 p
% i6 K, S+ m) L8 A& e
 l' @- ^# f+ y3 i8 `; n3 z4 v, }
% O( R5 ? W# H2 D' W+ ~* P
2 i: _+ _; X$ \ 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
& @# B/ V4 X# p c9 @# j1 _/ C $ x1 i4 @# l3 b p
# P4 S$ o' h ^ e+ o' e" {
9 j8 B3 e7 z. a- h8 O7 u 4 ^, y0 M9 X' x' B6 f
3 O9 a. \! L) B3 P# f
. E2 @# }/ h3 V9 F7 {9 @1 l . V9 L% [/ z y" F# @$ |; L# M4 a
9 ^ S! P3 _6 _* A3 U5 v
7 l0 Z0 x0 A4 b2 B% Z
 ) y' J" H; I1 g/ S% k* @1 @
5 j# B' _8 w* a& o/ t
7 @5 m) i8 c' u4 U5 U$ z) v 使用正则批量替换,替换%00为
9 G4 |; p8 d0 c! k9 d
3 L: X" r4 ]' I8 b
8 f+ m; _4 y8 I7 Z 
6 X, L. y3 G1 C. @9 H, D# W - a( p% T3 D/ X- C( h, S
& k$ W3 X( H+ z. `9 p
下面用迅雷开始下载
# A! O! Y5 h5 d; O& }, c9 A 3 k b* L5 @. i1 m0 \1 k; X
9 \ ~, J s D) N5 c3 Y+ J+ }
 . V; N- @' s$ p( f5 v, F5 R
+ y! R5 }/ {: ]+ h$ e& j* j
. o9 ?- a5 Q/ m, @) }* d 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
" x+ U) n* u/ p ' c: \5 _5 f! x+ H, t7 O$ G
/ B2 y/ B& } v; @; b. f9 w
 ' J3 y% A7 _: t8 ~& X, k
9 S& l7 G$ K; `5 k% D/ X$ d/ j( g$ r, Z1 B
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
) b$ b: R- z& U7 b8 e
3 j5 @0 W a+ r! X5 H3 ]' ]$ l+ @+ q, F1 ^0 z. f, a
 ! i( o3 F! k2 {: u0 E+ S8 D
" g2 V& {0 J6 G: U5 C3 v: U0 ^# w7 x2 W Y
 ; @ E0 P6 s9 U+ v1 t0 C
3 m/ l6 ]6 K6 V" v9 V0 ]
`$ G' ~3 V( Q* A 然后上传图片一句话木马如图
; M! }3 t1 _; N( G. B 3 @ A" }8 x( [- C& m
# ]% l7 h8 F! c5 i" w3 n; ^# [  ! {6 U* S1 O" T. p
`. {9 z9 |) K6 |+ _* ~$ p, \/ F) Q9 K! }- D6 p
下面我们来构造一下包含url1 m& d# l0 {7 E a+ k
6 k( p; _' m4 t; M0 O
" o( R" n9 O# v! C( F http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 2 E! F% r- C3 D! C
. O5 x* V ?3 N' G# y
# Z6 u h A: J/ P( ?. p, T
下面我们用菜刀连接一下,$ T6 T% j8 w. t) d( B6 h
. b+ T$ K* i( K6 l+ R7 Y9 G
4 K2 V0 L8 U: K4 x$ k8 q 
; L) s# R* P' x: l; t v % Q$ Y' i( t" l4 N3 Q& W* I
* V& u/ Z/ v/ B5 s# Y8 ^- P1 D OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子+ p) {( k" e) X4 m. u0 M6 V9 Q
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}