|
% b6 l0 S4 K5 X0 n/ f 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php / `+ G# l5 {) r2 d4 l+ K
5 l' O' D; N/ C: J
+ n0 G8 H4 M0 ]+ T, E" h# A4 t 7 t& m7 B( V0 g6 Q) N4 T0 d
* [6 A6 p/ Z! z* }) G. I2 }+ i
6 X: _. B C8 n( e. O4 S8 W
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
: G4 d8 ]3 I9 p$ m% p8 y
$ g8 K0 H( u$ \ ^/ d: h
# P' w! j2 r( G4 X. g6 s' Q
D" ~/ w. ^$ z. e1 @4 {' i& ]
& K8 b8 T! }! W1 W2 B4 s$ x4 _2 U$ G# L: O8 L9 N9 b6 ~
没能直接包含成功,试试报错
/ r% m: Z8 }6 ~ " s/ W6 I4 A" {( Q
: b) N( p, E9 c2 ?
% A; v# @# S) d7 _8 |3 O& n
1 k% r8 T8 T2 o+ V8 s- `
/ \& g/ h8 q# y7 W% v- e! E/ j6 h
" T! f, g6 c: s+ { & f4 }- F) R' G# c2 H
$ I: p8 B# X9 x% r) m" S
$ y- _- K& x$ K& U; g, X4 J, f
( O- J/ H! [, t9 L( G( n5 D9 ~: _* f6 T; R" V& U' t
7 T& _- L0 x* ^# {' ] * Y* J5 z6 f) v
+ w$ o' i$ N- C" ~( k7 x+ N/ T
. u+ z5 `$ @" T4 q& e! x' R * e, s% `" O9 m2 ^* t L1 g
; W1 u9 ^1 z9 M. B/ f
$ g6 m# f& n" j# { ?2 E4 p
* N+ \" \' D8 X; q1 ^+ y" q s
' F9 u7 W) A3 @: y# u1 e5 x9 w
0 p5 w# u3 D- \5 A9 K
. d& _9 }$ E# j! A" d
9 @0 {1 x5 T7 U2 [* b. g+ H 1 p9 Q, Q, m1 q. x- C
! B) o( U/ _. c" W7 I/ R5 n: _! b/ Y! X( }6 A$ R
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
0 u% B. N) K9 H. S
3 k5 ~% a6 y! u0 l4 N B# D9 k0 ]" |
, J- E7 M( m1 r) }; `
- m; G4 ^3 a) [8 _4 Z8 v' F$ `0 l4 d. r
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
2 S9 ]! A! k+ o. z! c ( F: l' A$ b3 ^3 ?
! X- F6 M8 `) X& E$ O
. |3 X. w+ o" H5 x- [ 4 Q% i$ E# F q) o8 D8 a
: v1 x, i+ C: D6 q. N5 Q0 N
q9 W3 ~. b' z0 F# B " q5 [1 F8 i; @2 @
# Z- h" k) T- e& \2 t' I8 B
$ s1 d- H8 ~3 {7 ~, D
h+ M% S" ]5 y1 y* L$ S
) C0 ?8 K* c2 B5 H7 p) M3 } 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
( K; \- N% j+ X0 F" q1 M- B' s 7 q3 _5 S; p; a, z: }. Y; ?
; _8 J9 W$ n# p 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite {% N6 w" z/ @2 F' @
, G! V" d6 w! E/ v# X: U7 {3 e
2 m! Q% }1 e# h) N
! E5 \5 f" N" I* o" M( z8 Z
4 j$ C5 ~ u( j d+ W2 | v2 u( ` X4 v" P, h/ @
然后发送到intruder,- ]1 H& W$ X+ V' Y
8 q. B6 D6 s" q, \: A$ A9 s9 O% I" m: K- s
- N; M, f# B: ?8 A3 \: I8 F
% ~( O$ x/ {1 ~7 w5 L) r& u) d. B- n6 e8 r" K5 \
Clears(清除变量)重新设置变量
8 N% ?! L( ^5 `2 {1 Z* |4 I 6 t% J/ @; v% E& h. M0 m% b
/ q* R8 i: A% X
5 f8 _' V; C$ M5 P7 ~% [# f; r $ m1 Z$ {/ u" h% }
' y/ o! z+ T0 x ! [& o$ G$ Y5 |/ o2 G f9 Y8 P6 d
- ^, Y% o( Z8 j2 Q: k4 _ c
% _6 m! I7 m4 y A 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
6 j x# ? _( c& D) d( {8 S! I
* O& O- X2 h6 S8 R, \
% B2 ~8 E7 S% l5 Y4 X
2 P& B% g4 h3 f: b3 e
' E Y( a+ ^! S5 B0 H) {0 {' U, j5 G5 ^' X- j* K! O% z8 H
+ A$ n, t0 E x7 e, g3 r
5 ]1 Y, K. P. f, f; a) U9 a4 Q( i- c* \0 i
7 m! |# L, Q3 y! I: R
) n! L/ j& R+ A+ q' @! N$ A
! x V7 [8 m& a, ]# q. H, I, x; C$ v5 n# x' E0 y
使用正则批量替换,替换%00为
) X, ^) [1 `4 \; ^" v
5 ^4 {* N+ v" N9 f* ~8 c- z6 x* D& G
. w Y& B" H1 b" n) y
+ Z3 \6 |- ?' X6 u$ A" r& s) @7 t( F$ n
# l# a% S1 d6 O) u t( v4 n 下面用迅雷开始下载/ I, y- Z9 z5 P+ z o
( v! b3 T8 T2 w# F) p8 N% C% q
, w. j' Z6 d+ @) J4 D9 l. ?
! i+ y4 X6 E+ x/ l% R9 p
6 }& X; ^4 x& a* j- N7 C! Y
X* i& k2 ?* ?7 q! V 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:' V! ?0 R2 c" O, N4 T; t
! S' r) b* u! [
; d: F4 P9 _8 C
" h, h. i& n4 I+ \3 o
1 y7 _2 E4 x* k& Q$ W: e8 ~
4 a# J1 Z, |: d 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:4 |: R( @3 d# e& Q7 r* V
9 a. o+ T) \& ~; |
" J: C9 v# O( ?) Z& p
/ d. p0 z. v8 i; D- D" B) Y3 [ & I! d& t7 b$ x% H: i1 P2 g
3 x0 c# C* Z% r5 S8 d% n
" J& P E. g2 P
+ C! N3 j$ _/ D4 i0 n
: M5 k: k9 H4 ?* W' O: ^
然后上传图片一句话木马如图
0 h. R5 E) J+ @( Q$ N4 p/ M% R
6 `1 D0 M' _% k5 r- Y3 {: a& q- p
, @- S+ h9 i! H: h
; E: R6 d& Y+ n& J, r5 u( }9 H5 x, _ q6 \
下面我们来构造一下包含url4 V: l2 T1 `! ~3 z) X; k
$ z( p' D+ f N3 E6 r5 m
& t4 ]7 t( _& I( g# I& g
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
/ I3 Y0 A. y3 q% z ! `) E0 [2 Z& p
/ R7 b) d |1 [2 s$ u; p: y w
下面我们用菜刀连接一下," c1 ~6 b3 X/ }. X
g, ?' F3 c/ E( a; @3 R4 x2 M- s# G% ~- G
/ t: T7 Y. o4 }$ |# r
5 j7 a" h5 L: L
' ~' u: R5 [8 A6 Y! F OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
2 i. _/ \' S. F& f/ e) x' u' h |