|
9 W# @% n l/ B$ J 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php & }- J2 k$ r* i# L
- ^, D' V8 u/ g8 `
1 m6 k4 n& m% v  , r+ U9 g2 i3 N) Y$ b
& d M9 z+ j, G1 L* j' a! f' E$ d" i5 ~" Z- X/ O
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
/ N8 [( x: `& z) ?! z- ?0 t+ T# H - R" q% w' E: j7 ?2 [# K0 i
8 }) W# [! ^' W: ^( A, I& G 
+ A# V4 {/ O- T/ R* S5 G
! z1 F2 r0 P$ U y. s8 F9 O) H4 R: K8 F' H' w
没能直接包含成功,试试报错7 ^6 L: y* {( h) G/ U! w% r. j
' ]) ]( B T9 ~# O0 W6 q2 f! v( }6 r9 w; t, Y/ W1 N
% T' {) |* v- |3 d" M
! y6 j) O9 Q- Y
6 x/ ?' F: b1 ~: c h4 c3 F6 N7 Q5 k . s3 s0 |/ Y" X! {) y9 N/ u
3 [$ V! A. {# C8 p5 H6 b. d
6 y/ u% X9 Y9 ]9 G" {- Y8 D U2 Y; p- i: E i8 Z
( S- R8 h" t' @2 D& x( n% c
& H1 x6 a H* n 5 Y# Z, J9 {8 `& V! t0 A7 D
/ Z- A; ]* V4 d) n5 w" g
T% y/ n4 x, u/ ?. I
; ]8 _$ e- r8 b) L6 Y& d- L % m, ]- h7 }3 x. C6 s# A1 y# y
) X. y& _$ a6 j+ ?% J. m3 a3 S
# Y( U; Z7 g4 P6 r1 Z5 m
6 U- M2 n) z* k7 I/ G' W4 |2 b4 r) |
" I. @9 L" |# \( A m9 ]. y % W. r3 D# [* @( y+ T0 |5 S1 c( B9 \
5 s& f2 V+ E: {- p& |
# e6 k5 S: j2 h8 W/ T* W$ i- d  , V0 C$ F, q8 R N0 M0 l1 D
+ r: o8 T+ D7 m" g" M! E7 X( i- c
, k- Y: e) \9 B. \
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
6 z: ? C8 I0 w' a
4 p0 z) A8 c% s, i" \
+ B$ O- I- O7 C; e3 ]- z7 t 
$ j( d0 C/ E6 a5 v
D% I7 T) S0 U- |
) x# K/ Q u1 U! _8 l 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ6 a+ g+ i7 d! Y% y! |. C& ^
4 h; v. f; b- y& \2 K- U. Q6 L+ r% v% y! _
' ]& g" O+ L) O2 Z, J
3 M$ ]7 g9 r: l5 l: t$ ]! N0 Y8 b
& [ O% e+ e5 S* [8 @3 J. L; V
9 B8 V3 i& L+ K8 \7 b" X/ t ( t& o5 F+ @1 G
% k7 U% J; \+ h4 C5 ^: K
4 l' {2 i$ W( w- G% g& E" ?
& s, ]. f- K3 [( s$ m+ g; F
5 Y8 t# B/ F9 s( Z 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞; y+ l: K4 J; R+ G2 k
W; W9 g& r0 r& M' j
6 R0 S! K% |. [# l' m5 | V
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
9 ?/ m9 p% ]) k, N l- L# T
2 N1 u3 d( h, Q! \0 F1 _
$ X) o2 R* l/ r 
5 b7 x+ }4 v! G' S0 a* h) @ p: K7 K( n6 J4 Z& Y8 d
2 E/ |, H( e5 Y& h! y3 m 然后发送到intruder,
$ i- J; d) [7 L; F0 H6 p) Q N
2 D2 k1 X) E& B$ c. P6 u/ J2 N3 Q; z" ?5 S/ F
 - C* Z# i8 b2 p5 q
+ n( a0 N+ A1 A- K2 G7 b
5 M4 b/ w0 l: m; \1 t9 m Clears(清除变量)重新设置变量. i; T' @; j9 `+ @9 X9 k
8 N0 Y- [! x. Y) C: `
& S% `* O6 f( X, b& ?' l 
9 I/ h- n1 h# w) u( X0 [ 4 _! i# ~2 b F R9 F) Y' `; m
+ G* T5 R1 U7 p5 h( B. Q, S
6 Y5 j6 G8 J* o, e! N: w; t
7 Y+ T4 j3 }9 z3 C& n) a
8 q! R+ A5 e; Y7 Z 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
7 u4 R$ N& r* v$ B. k3 Y! j$ b8 f R7 v: K* D; e/ O6 e% t% d# J
7 A/ ^0 w6 z+ l+ [
5 ?5 _0 }( P+ _+ N- g" S # e# Z' y, G! R# K3 H1 g- V( z0 x
! @6 q! ?8 G& @5 o( y' d C, U
- A5 k% w ^6 H6 j# d) p( i
O# V, L( i" U2 l) a( E2 K4 S
. p- y& g. z B
& B7 Q" ^3 _' o+ [ , J ?! o, U' s8 W' \
1 x# ?: K( W) z. ~ h5 n- {4 M4 T4 v4 B y8 L. e- w; p1 n4 {
使用正则批量替换,替换%00为
* S8 ~1 W# p" a- {# O- J5 o. s) `
' o- o/ B" v6 D2 t. E$ A; D( B$ C; B2 T8 k( w! D
) g3 M4 w( q; W, C- y
& D5 M8 L: k& z( g+ u: s6 v+ f; s) }, x# c5 }3 S
下面用迅雷开始下载
* P4 m8 F# a! D `! i' J1 Q% `7 k ! M7 {: u- y! g
2 [, \) j6 x- y6 L: q- }3 P
8 a, d8 i/ G' U * @! W3 j# f6 t5 l$ F' `
- M) g9 [; w' ?! W8 x% } 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:- Z# A; L8 s0 k* ~( c" k6 h
8 }' R: h$ [6 B- L" W& Z4 P h1 G9 l* S$ J" l6 }* i$ ?1 z3 O+ d
* e: Z& F9 M0 @" u% M* Z5 J/ z 9 n5 }! r4 w3 P
$ ]0 O3 }/ l" R6 N
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
! X0 i6 H" P1 @, |; W1 V
- z9 r# ^5 G$ z* i7 P- U( X u, }5 k. i/ k( c
# N4 I# C! y4 Y! { b. w5 q7 _ h0 K/ \* z
! ~2 G7 n0 v6 ]& \  7 d' i" Z6 I. A) z9 P
" b1 M& r, Q* Z+ m, U: ^( g
! E, g+ I R1 `7 B$ t/ J+ J
然后上传图片一句话木马如图5 Z/ T- Z4 w0 s' u
0 _) w7 X7 I4 U1 j
4 {+ [7 U2 V9 K. @/ u' M& V  % N7 ?2 y" Q# Y. n5 V. J
. h- d6 `8 \; e6 c0 T
8 I" F0 Z( k! a7 Z 下面我们来构造一下包含url
1 d, ~. U* X' p# F, o/ } - n$ c2 o2 o, |# z \' G
0 F( N/ F5 E8 _) q. x$ X
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 6 Y* O( e. _, j$ g z2 ^7 C
% M9 M) `! p( I. ^5 A9 a
& H6 ^+ N$ m" q; _
下面我们用菜刀连接一下,6 J. S" ~- }0 ?
4 L I, C( U" ?- c9 J" b/ n: I
8 h7 A" Y8 V3 S6 f: j, ^ 
7 q$ ~* W* h1 H7 D( M2 E+ R + ~8 \" ]# o% s6 S8 t4 J/ m
% l4 S5 H; Q7 o) l. w3 \ OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
* E9 C- M" a9 W! | h s/ r9 M | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}