|
# |1 ~4 u e$ T" y2 W) L) g 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
$ p$ Z2 J, c. e7 \5 _9 I/ F
1 f; D0 U, B/ q# D) t
% u% {* o' B& Q& U5 @6 Q 
: @6 S8 ^5 F- f# \ ' g) O9 o" P1 C3 j! I
( U9 y# h- J: g 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
) o2 l/ |5 g. e1 o) W1 [/ V8 M
6 u5 Z6 N% E5 V) I% M# x3 x. p9 ~/ g, S2 y6 m
 , |4 }7 w6 w4 u; {* S+ C' P
# N6 U% j0 _& R$ O/ N
# ?. u# s' D7 S6 t. E2 s$ J
没能直接包含成功,试试报错
$ k$ x; G! v+ w3 D8 r & l. E0 }/ E) ?: ~$ Y
% V! L" Q8 u9 t+ o
- P1 C9 ^% @+ l) \0 p: P " y. y2 g- o/ M$ k! w& g% h
8 E/ ~. A' f4 _+ v F
9 E( r2 s6 E; @9 r; c; f0 [1 r
3 B0 W v" c7 N3 ~% |+ t" t1 L" y+ u8 |
4 ]6 {% O. J6 u: H+ V- V# Q / f$ s( Y% N- ^: v$ `
% C1 a% q( Y) v3 S4 {+ s 3 D% F8 L/ B3 X
: q' ^. m. j+ j1 o3 h8 A) {! N4 l
2 v2 ^& F% [8 y( t $ s9 |2 o& f% h5 L
u& _; `6 O) |( ]6 R; y7 K& t
# F6 x; C+ c" \ c3 k" P @$ ^: r) V
4 Q) ^" R, ~+ Y! p
, L8 c. B& F( H* A
" V. M. e! J- U# A% O: M- ^
9 D" K4 [+ @) Y6 U+ |4 {% s
# t" {2 q6 a j9 A( u# ]9 _
- X1 v6 t+ M" H P 
9 ^' X' @& R5 G+ X! q
( D% d* |7 }9 r& c1 U, d5 L6 T" I* J1 p& R u
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
, E& K' S k! y! r: v! \3 t , y5 s- y) R8 ^
! V+ d! T$ C9 H8 G2 S
 8 R g1 u$ g1 p- T
$ P& V# b7 U# o% v% | k2 t
" t4 e: N/ y1 ~5 N+ T 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
, T |" V$ ?; t5 M0 z9 ?$ v) W 4 n7 p' O9 Y( m/ s
|$ `4 X& C5 x+ B+ A4 h  1 n" b5 A4 d! _/ ~ y* l
; Z! u( }# l1 G' P
( C7 A3 p% j; s; ^! ], ]# |; Y
! A! {# u6 O s8 _4 ^6 c3 r0 k
- u6 ?5 L( K* y( c- q
) A7 A+ ]5 v" T; f$ U1 v ; W- ?2 @& `) W9 u, _ V) b
; |0 v J0 y/ o6 `. Z' a+ Z: M$ P' @5 \( u) k3 @! h
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
6 v+ q2 J/ x2 N! D* |. T& s+ { 4 I8 E1 ]+ I7 [- ]. q
4 E3 F: ]& ^2 d; @/ b1 e$ V/ ^
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
5 b# V) ~& v3 c7 a1 c
" b6 z4 R* J" W2 {6 A: [1 [4 U! h
9 K! v- Y0 h; L6 c0 G2 T7 i 
2 S7 b3 \0 ]7 f( f' p, W g
& I, u# m4 ~( v. R% ?/ Z+ z9 f: d, a8 z4 }
然后发送到intruder,
+ J3 A6 J, ~) J2 y/ `5 N3 R
' o; x5 o) {$ L# e, s: i3 ^; L, A0 E: y' Q, S
! M0 c' V5 Q. f, o* q 0 T( V5 z3 g& W4 R- Z0 Q
: o6 W' i) L7 L* z
Clears(清除变量)重新设置变量
+ C5 i. @, h& G V - G7 `" A+ c) @7 F: s' P$ d& V
; T( g1 r& a2 ~. j2 r  n% `% Z/ S2 ^* f' I6 h9 ^1 v
, M( w o# J$ \5 f' g5 H
, R7 K( L7 v, P# R4 K+ m9 X7 A
6 [ v7 f7 H# z) q+ V) d! K
0 P3 w+ a3 Y2 g1 V& E, O/ F8 f9 H5 ?. ]9 _ l6 [# v9 R
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,8 b$ R* \# d3 k9 @" @: N% q
! Y- y% t$ T3 [, d- g$ R* W
2 j7 R" r6 I' F2 x0 F+ ?! ~ - p) R0 K: P6 W) g8 r m- S
5 R, f% b( M1 B' R( I
9 g! s0 f u1 F4 A$ N+ q% V6 G
# [2 l) u) ^, \ ! V# _( l" r- m2 k8 d* M
/ z2 d) s# U8 F; ~6 Q
3 K! g) ~8 T: A: |; h, U7 z 6 J& e% U4 S" W% z. s" j5 M2 S: |
/ L7 d' r1 p3 W* R0 J( D' z
, v& w0 M, B5 L, z+ o: Q
使用正则批量替换,替换%00为
h/ j( Y* V; y5 H " w2 D A7 l5 t+ u$ I3 Y
4 h h/ p5 z* b& `4 S* ~
 ! y6 R8 {4 R3 Y: R7 N2 @
- S9 @& y+ [' K6 }! R5 l
) B: F2 i; U# N
下面用迅雷开始下载8 U4 ~& \% V7 g) q6 i
" k& i6 O* N; ~5 Q* B, Y/ W# [
3 n o u" @# V0 N5 }4 z  , p* T9 D s# P$ y
8 l2 X A, V6 Q; {' K
~( n x2 E9 s1 {& Y Y- N- D 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:. C8 j4 z* E$ S* v! g. x7 _
0 R+ }' E8 L" H4 j% F. l
' }! Z9 V' f$ E8 D& Y
 / o E$ J' o) q6 K" [
}5 l. Y t& K3 z
2 m3 p+ y4 F3 g. ] 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:& z( u/ M/ _) y0 P9 G: {
7 C* u6 [! e* V7 n" w6 D% M; T, M! T* \, _. v! {, C" @
 8 ~6 I% h. |1 \/ y/ X
% m! p+ I6 |( @, {7 @) P) P- u2 ~7 |4 F' ~; c) o. x/ k
8 m9 R9 `0 M0 r+ k: k" m' n ) Q& y; ?$ A, o: K! |0 s3 I h
; j% m: x% \1 O 然后上传图片一句话木马如图
0 D5 R/ z/ |) K0 C. u- z3 U* d' V: C
3 ?$ F: a8 L ], l/ a3 o7 g3 a% e/ O0 A0 H& j4 a5 w
 # J f. u! a9 V. H
: q7 a. r7 @5 R+ f
! |' I" U4 T* U3 G ?& g, \/ n 下面我们来构造一下包含url
6 h% X' Y- ?' ^" }: P" A$ A 9 r% E# X. k/ t- P) Q
, m9 t: z6 J N+ E" M( t9 |) Q/ `
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
0 {1 X0 D* S& u+ t9 |
" q! u) A [* X- y: c# [& u; F7 P* V
3 G# u# X/ U6 y* ~8 t2 r 下面我们用菜刀连接一下,
2 ?2 e3 R3 N0 M: Z# q) g! X 4 }2 [1 q: U e1 k+ j4 }
1 Y0 D. ?0 c7 I' }. Y 
# W, ~* @: O& r7 n) U5 J& G
/ t% b* R6 R. s, ?; ]6 A
" @; }% \) D4 b OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
4 z: T/ m" u) z) m | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}