|
# [9 v& z" t, l2 D/ \ J 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
- \9 i# i# J2 n
! ?5 S: M$ |4 F, ]9 R0 y0 p) t7 w, t% n+ S3 d! }# L: }
 : \! @' x% {/ R; o8 o6 ~
2 {3 W! `. p# E& x/ p
/ G) r# }" b4 K
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞( S8 h( a5 \* b1 g8 s# \( B3 x: G
0 \5 _6 f- w3 _1 i j0 ^, F0 x+ F/ k& ^3 y1 P
- N2 }% I u! c9 d. @ * I' g6 l" j1 F0 d8 p1 `3 R
~: u2 E9 j( }- P# p2 ]
没能直接包含成功,试试报错
9 ^3 J& W; J! g, p8 N& f1 @( Q2 Y
" m' a; t4 \& u1 N
4 m4 o1 D% o! ` n 6 X$ E& w# G% m* |' { D- k- j2 Z( c
2 n9 L2 _! ]/ r/ N$ ]3 x7 I6 }
! [" Z9 h5 p: o/ \( [
; E& F/ y5 l4 Z# K; \- [ : _% E4 v c3 c- C* b
' Q( [5 y/ j! u. c
, ^2 K; t8 v7 ]0 o( g6 \5 e2 i* ?
$ X3 b7 m P) n) T, ]; g" A6 _- K8 N4 {+ ]' e, z
7 e% X8 f; O- f4 m: j/ z
5 Q8 {; a$ ?1 r0 B
5 H; g( ]$ f8 I6 O& U, E- N4 O
) D7 m) T, Z; P; B% J6 }0 | 9 I9 c4 x8 I# g1 j% ~$ A" k( k
+ n+ g1 |& [, T8 t3 G G6 b& ~& } 0 d. q& M, C* z- Z9 U2 }3 W
6 z+ q: S4 p8 d' E" R
7 I! u0 P( F! d2 T * P8 s: w8 b9 l6 K8 y2 R' {
$ I) @3 N& J+ o, ?" V) e
% i) F0 B* D$ D" Z( A* J 
; _, A" X9 U' Z
S2 v; K w$ A8 U$ l, \+ f h; [7 f0 z4 X+ R2 c+ J8 J' d& R
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了) g9 V) f$ ^5 E8 S! W
1 S$ E. i0 W/ `( S, A4 `: Q! L1 q: Q z9 S n+ p5 z, W
 * j. Q5 r, K4 v" a Z4 ?/ G0 a' g) W
a2 b& f. K7 n& S4 E* C: t% `# B# y1 _
! l# D1 N+ z" R8 X+ X r 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
4 q- `( c& m% s+ H" n$ s 6 O' M2 b A1 d* N! v; m
, i/ g) O( ]8 b$ z3 }
( V( |) r. ^4 g& J( K" t. j. N' s ; E0 \9 {& W0 W" O9 I% G
# F+ j1 `* V# D0 Z
; I; X. Q7 _+ ] w
$ K0 ]3 Q, ~' G0 h
. x$ A* C [! O! K) c
) H$ p2 l. M3 C7 t# m& X0 T* z" @- c : _* d- z$ T' f! a# f' e, i
# A2 f& x; L" G4 k* f8 F
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
! Y" c8 f# [' l" a# } 4 g9 T4 g) y# o2 p* \2 `" V
2 z+ l M& G* d" }0 ~7 r5 U 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
3 S" J- w8 i3 _
/ A0 q. G1 W1 |; z# |: U, v( l
! U( n. Z& z8 \: \ 
8 j0 |, j! j, G6 @# y
9 I i# `3 N/ a. L. c+ E# \. B$ ~
$ g5 I7 I, ]1 j0 r# E& B! c( [) U 然后发送到intruder,! n5 x5 h+ I) }) N
9 C1 M U! Z v' ~) S* R
$ ~9 f& Q( U* {9 P) P4 t: U
1 p3 n2 u4 C9 B' W8 Z2 F
& O8 O- L7 q( F4 o8 G' S7 M6 @
. v) B. |8 [: A* x- V: I Clears(清除变量)重新设置变量
& M2 M- r( {0 K, R5 j6 g# Y
7 J5 i% u0 M$ p: `5 |7 J9 C$ S+ u+ _$ p% x
 N1 _ T7 D* z
8 [' Y$ v2 r% C3 c$ [8 ~: q# @) m& j" w- q" g8 \% d
! B- ?" j% N! i; L* C' ~/ j * a7 c8 ~" S: O( O9 W
9 q( h& e4 b* w/ b" c2 F2 R% @
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,/ _( x" g$ `# _) [
4 \ {& {& X/ h# F7 F' D4 e N+ O" z2 f, W
* Q3 V4 R0 f: X7 }9 j" m& e 1 O1 t/ o- a; |" v' N
. z& O0 _3 _6 s4 ]# @8 o* d
4 [- `9 c" u/ K. K# l
& U8 U" X ~5 o( }% J }7 s1 f: ]
3 }& U% O5 r6 H, T
8 }, P6 x* `" H& U. m, V, |" k
" n) L6 |$ J! I2 W+ J5 J/ l
% C* Z8 V9 m8 `' h" e5 c7 x. f2 _+ U6 t5 _& o1 n j) Q
使用正则批量替换,替换%00为
{) ?, r2 O: d* B 8 N+ l/ G y+ _: q3 y2 R' e
9 X, h* m5 ?! a! C& f% m% `/ E$ K9 o9 c  & T) w( I. S' b* S- @
6 U5 n7 E3 Y ~
3 Z5 s5 l3 \) R; z" I2 i' I 下面用迅雷开始下载
. i6 ]' d R6 [" N
`0 }8 k3 ]/ C& i
: h8 q0 Y7 G/ F0 J 
9 `. z+ R% P- d; F& \ - o( }% E' d+ O+ s1 J. K
* U( p2 q/ N- w$ R8 ] 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:1 q* f# e% D# X% k+ E9 Q
. ?# u6 m5 }9 _3 n1 D: V
# |, k) R) C" B& z) U; G$ k  ' W. H. b$ G) a3 i# w( E, y
1 }6 I; S. }/ i) l2 u* @
! S0 W3 Q t k! O' s5 h, M9 n 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
* } g: r: j0 A! f. {7 I/ U/ }
/ F0 y* Y3 ]+ T7 D* }, W; u: P9 D
4 U1 }& H: _$ B; P$ v  + X& s1 P$ E j
3 t9 B* v) f. e1 Q3 E3 J" C
" W: ?/ ]- S' q, u! l  " c- ]) _ G* Q$ c2 y, x4 D* R
% A i. Y" S' E# v& z( L4 W
0 b {6 x, A( P8 g4 c4 Y
然后上传图片一句话木马如图
$ B2 }& L& @+ `! W2 K2 ~
2 w+ z7 {5 t* p1 W- X+ |/ E4 Q4 l& L, i9 ^" G/ r
 & F7 t, f$ U- o% m, s3 I
/ P$ c; V+ T; u6 m e* a* P9 R9 X) ~
下面我们来构造一下包含url* \9 [% Q, J1 X* ?; I+ q" Z
4 O$ P$ X: D; @% V( H5 t# I8 `5 {# O2 f8 r) {) u& o
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 0 u: I4 L! J* b4 o
; L" D+ b( n8 T! g1 r, ]2 @
1 X' m# Q) a0 U1 g5 h: k5 O 下面我们用菜刀连接一下,
( w+ q4 M8 i3 Z1 g; S- e6 } : Q) E9 L) A$ a1 j* R- [& e. U
7 f S! I' K# Z# c* b* r+ Q
o8 m7 y( ~0 T7 d8 X; |
: L5 N1 v# {3 A# ?( E5 c7 x+ n. D/ i/ `% Y
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子2 S; r; h0 x5 C7 Y: E9 ^
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}