|
2 i5 h% P5 l& f: n$ P; ] O
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
* E+ g+ n2 Q" V. B' O, d9 ` / E, q9 E4 q0 S
% d! s: \; c5 ?) v) \" S, ? 
2 h7 A' A6 y1 p4 m4 B, p7 L
, ?' A1 Y3 ?/ n# l% B3 j' I9 ?" x/ ~
5 Z+ Y& [4 [, F3 c4 j/ e# ` 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞! \8 P: Q, b% i0 L2 [ Q
2 C! L) {& Z, ?% x2 C F6 _, F2 _7 C6 G4 z. A9 x
( N' h5 c' p% B. z1 k8 k
5 X+ L# O7 i; ]7 {1 U4 O, Q% R
# \+ ], k2 k% K( L) g 没能直接包含成功,试试报错( g3 ~3 P% j9 Q
' ~' w) ^# c+ A$ e! Y+ ^/ T. B, U4 ` K) r2 r
" D% d$ H* o, B
0 k( n& L4 G2 `7 m) M8 v5 ?5 ~, V/ O
. f" Q9 H; P D9 F % i; J! x9 T2 E" H9 h
( o4 E3 u7 Z f& F
! \$ j% h0 \( M6 q0 I( [ $ `6 g; G6 j3 d1 B2 u _* [
1 R$ S# V" w! p2 m
7 C3 Q" I5 U6 C7 F
$ T6 M* _ F V9 S h# [2 {
* B* g5 [. a3 Q, y) p$ q4 P8 M. E: Z
1 R6 f8 Z6 B: \3 h/ z8 R
, z0 p: e7 s- | I) |
" n' c) }) M/ o0 A% w
8 }' O9 a U E& u: C% x5 {- z4 o+ ~ 7 Y9 R9 Q' L6 d# O
5 @' a' F" W9 S7 \
7 k0 x5 } B& [$ D7 ^* N- E9 v
1 N2 W% y }2 x& n: L5 |3 M2 D1 ^+ [1 V7 Q4 M( Z
' q3 ^# m& b6 ] Y/ y3 e1 x ( l+ }: h+ U0 v7 m% o- X
- A$ F7 m0 d/ p 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了+ {' P' {: r, l6 F6 x) a1 {& a
, U T' q, e! D! E, e- Q4 q1 c3 ^% Y/ D9 A( U+ u
$ E8 N8 a' q" q- c+ V
! Z% N) o* n( i4 Q
/ N" Z& s9 r i 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
% d( ~% Y7 V8 p 9 G* p2 b# f+ }- M
& X1 S. n* l8 I2 A 
# B. k$ C- U! F. J9 ~ + P5 `6 ]5 N+ x9 H3 ?
7 m8 `' W; c3 l6 z! R* u7 ~* X 6 [" B5 }& T! f8 F' n6 i
5 F( Z% z- U( g6 P% ~" c
2 R0 b0 v0 c; z$ z! h; R
8 R. M2 u6 h/ V! L3 U: \ . N2 m5 F; j0 X& W' c
( }9 |) o) |! i% J3 J
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞. I7 K& @$ k7 _: O% q) j9 z
1 |% Q) j+ M' O9 D
]. B3 I1 o' y" J0 `$ f
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite) Q, a4 o0 k$ f- W& g2 n3 a
8 h& C" n( ~" `; e2 P) r, @
. M* K) D) ` ~2 Q
2 g4 T0 a8 [, q9 L( b
; f9 O7 C; b/ Y6 m- i! [7 P9 s0 D3 b$ k3 E4 t
然后发送到intruder,
' O8 I' s& \( L; u1 N" a4 }
: o) g! c+ t [3 s' K; Q% D& J: O( M6 Z, g1 m5 i8 q
( f9 x! a) p. a; f - Q, z3 o& o' \
' a( F- r& N* r) U- t Clears(清除变量)重新设置变量
8 B9 }8 Z* Y3 C' O & V: Q) f* R+ C: @& B. X' P
6 ` @6 {! j; s+ z) C# H% K8 t. k
 9 f* O0 x) A4 c) H
- z$ B' [. }$ c
. l$ m# _4 h# i8 L
 0 e& A; X0 q4 k$ h+ |' }- y
" \& {1 `6 S" n& Z" v5 \
9 }0 r$ J- G7 o1 f: [. S2 q; A* s
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下," u) k" q( _* b G# U- Y9 j$ V
9 V: G) k9 i8 i& K% N8 ^
5 s7 W7 E! v9 w& g* f0 g, P' O . ]' {7 n7 C8 h+ M) r% z! g& D
4 S( Y* x. U# w0 W
8 c; Y6 _$ J- m0 r
! @/ e U1 f+ e+ g' W
( o6 T" W5 G* H2 \+ \( v7 W. X- d1 M( `8 k* a
& x$ x# z7 J; c0 X
]5 g1 z( K# z, |/ N; ^ 6 l" H' [, I' @! ]3 \ C
$ u) z2 S0 E, X" P6 r2 J7 x
使用正则批量替换,替换%00为" V( Y% q8 e& {6 v
- F5 d* i5 O+ V. O
' P, t' g. p4 e% x
 2 h4 D" k2 h. a. |0 h! n
6 X& y# Y: |9 J) w. t2 o4 v% _8 q6 {! Y
下面用迅雷开始下载9 F4 S4 T5 G4 I
1 _: K5 |) T8 j8 L% g+ \( P3 O
/ D4 ?9 L0 s: {  # z T1 ~3 k! j$ s4 H
4 N" v5 {$ |6 A0 a: A$ r
( L9 \6 q, w! \9 ^ 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:+ m# }' T% X$ f9 B; J# i! M9 u- e
1 F+ I1 ` C8 ~, ]4 G3 u+ z
4 l- ^6 m% ^7 f, i 
& I* s% o5 K# z" s$ k5 _4 b; Z) S" O % O1 A5 E/ [+ }
8 Z8 c$ W4 l2 ]2 ^* I 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:, E' ?/ r! V" @5 I4 `
/ Z& `) U1 B/ f* ]% @2 \) ^
1 W2 k$ n1 G& S* y' Z( k# P( g 
! A) w+ w2 N( x2 e, B % y; E) z; S* ] I
1 j7 A0 r$ [5 a( Q" _) _* b 
0 f& ]$ y3 q" c5 r1 @# h : F& t/ s- r3 o3 }5 ?
3 m) s' k1 g# R5 z( a
然后上传图片一句话木马如图, o! P# f# l9 A: W- V* F7 ] Z$ Q
3 ^$ d I: s' `! H0 o- ?) G i$ s8 ?: Z B5 p; n" H9 H$ O
% M) r( h8 M; R$ ]* P6 ?
: D9 F3 {( ]* [/ Z( x2 l* Y& W
5 k( Y3 g; f4 h0 h# w 下面我们来构造一下包含url
4 }. [& h# X% Q' L' f. D4 Z" \6 ?
, X0 Q% J1 y1 G7 \& M6 n& o( [/ M* p6 f; C" q- n( C
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) . r# U, f% a9 x3 R* U
+ o- r& ]+ C! y5 m% K
0 G7 i! x* X3 y# l 下面我们用菜刀连接一下,: [* P( L- o* ?
2 A% Q( f/ Z% g' ] q+ ^# ~
% L4 ]2 d1 J( D* y) x7 F  " A) ~* A! d. C- E6 K- o
: `! r1 J7 [. z8 l W& T. T) Z9 D# e* D( }0 @- V* g" N) A' w! {
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
2 f# s3 r+ R# b: h, Z$ b | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}