: m9 K g7 l( A" D) g 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php ) ?3 A9 a; Z3 F: P1 ~ s' R- {3 D0 ?3 Q
) D3 s7 I; U8 ~- U' J6 s. L8 }* g9 _; s0 J, J( h6 G , X1 Z/ A8 f2 _# J, {2 r
0 Y4 D' d' P/ e% X' z# |6 U: l( \4 O7 ?( n% |; @ 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
& B% l0 X5 `( v1 E) u+ x0 _' D6 F3 E 没能直接包含成功,试试报错. o0 J: }- X( c: r/ X X) T
* ]4 p5 [, c/ b7 _1 ^6 K
1 c2 @( F; q6 { n- U V
% C- {, u. J1 ^, W$ r& K4 z3 |
1 |9 z( d" F# ^2 T* ? , `: k6 `) \% K+ j
# D. u% m) E" ` / v# x; I+ c) b @8 r
+ @; P1 U( K! w( y- s7 z) Y8 Q- { G% G
C; s3 O! z6 r( S& T - M4 x6 h7 J1 ?- p5 }
`6 _2 J4 P( ~" R% Z 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
0 Z& g. e, G( _: y& m& l$ N) j* v
' f& [; V9 b( Y3 Y: { 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ6 V' W3 W2 _2 k% I0 H' N2 H; y' I
+ m! J# l0 j" H$ c1 W3 V1 P; h% H# h# i6 v5 ?
2 b' R8 z) b3 q/ _ 0 o1 {5 z3 r% Z2 r: F
4 D) D% S p. \5 G, e2 \7 ^. k' z% e# q$ l1 L 2 l0 c% S: |8 B3 A; g% f) r
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞- S4 Z1 z, Y G- g; _4 ^% z& o
& K ~1 U1 k# |; [5 T 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite7 E7 r3 W& [/ x6 }7 M$ e
* ] W$ K, }. K! P
# B9 V* n$ k( h0 u 然后发送到intruder,# M( Z2 r/ d1 Z7 p5 E
. A) k6 f1 F% a1 G; v' z' z" J+ M/ m 6 q) U7 b- o1 q5 s
7 ^. L. f" P3 |" A3 C9 `8 B Clears(清除变量)重新设置变量
( @! u4 L* a% o- i9 R* s % o1 t T) |+ g$ K4 h; q8 d
3 t5 C- @2 U% [ }% O7 ?9 _* O+ _- j% Q
) i& _+ ]- y: Y! _2 b( P- m5 o2 e! x/ s3 Y5 J) ] 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
& x/ S6 q, [! w9 h9 J- U& p6 ~- S' P * K" d& ~# s4 I Q, j* g
: J' A) {7 L$ b. g2 F2 Q . K+ l V$ H! |
6 h* Z; Z& i9 q) \ a 使用正则批量替换,替换%00为
下面用迅雷开始下载" t; d- d# C5 Y9 } v
% O6 j+ Q2 e& C& g
( u: \1 z& Z4 S% F2 r6 }+ p+ w: T 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
% [; Q2 Q! M B& l1 ]8 z8 g3 c& X # F1 D$ q5 b/ `9 y$ B4 v4 `! g( T
" g' ]! |+ p4 B' R6 X( K) E- w7 U( B% T 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:, z& V; d- P8 @
9 j: e1 `; Q3 H! f ! w; [/ k$ ]9 T8 V4 P4 ^
" e3 w/ Q* {5 v' [ , _2 S' D. S6 V; o# p! B' m
1 K) ^ R0 p+ S! J( c然后上传图片一句话木马如图
& v" Z- L9 x3 v" a+ u3 S
下面我们来构造一下包含url
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 6 V" b/ m" c: j7 w1 k
+ n! H* ]# N# V 下面我们用菜刀连接一下,; n2 Z Y5 i# I8 f& p
7 _. p$ B: F3 M U& \
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子! y0 S8 ~# R! S: x1 a2 c' s
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) | Powered by Discuz! X3.2 |