|
% s) Z, i r6 L& T6 I 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
/ l9 d0 V3 L% o/ N * J- L* s( M( A3 N7 V; p
, I6 h, F1 I& D) t
- a* }: M# G7 J+ H; | , w' G% m" y# X
( W8 H. r$ U0 m. I- c
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
, j' V( |5 p% a! G& J
3 Y5 q2 N' C1 ~' ^+ A+ ]5 [8 B" G
& p6 p; j4 g! L/ ]+ g/ l 
2 I: q# a6 `- ~( w5 ^' O2 Q 7 y; B# }6 C; z! R" I1 J: d
0 A: b h8 z6 w6 a5 u0 l 没能直接包含成功,试试报错: M1 ?1 T! m: V+ f+ x' `. E' p
! b$ ^/ e) n- Q' q+ Q3 l1 G2 Y+ g, J: v$ H
' s0 E5 O+ t u1 o# c# [
- v D$ r5 \$ l; g( T: `+ y* f0 ^0 P( B- t" H, ^" b- K
6 p! D) h6 ~4 K! `" q
1 ^9 L! q% n. Q, Y4 F6 L
$ M8 z4 [8 C; h5 _4 z9 B) X
2 E7 F4 q: V4 J4 W' w, m6 L
U5 t, v% t `! H3 \/ L+ Q
* k( h/ ?* V y% t3 A% ~
/ ]1 _$ p/ j+ l5 Y7 | / _1 H; e3 q7 q* p" U" R1 c% {$ N
, T0 _6 ~/ J- E. Q! n5 S
' {$ @( y/ s' ] % ?. r; |" M6 u, z7 \$ b
+ U! U5 ^! g' A" g7 V9 i, B9 i
' S( D; a: w* Y/ c ; Z& Z" Y7 X( ?! S5 s
; p$ S9 {3 D; p3 N" J8 \$ m
& c2 ]$ q5 C! [0 ?* ?
# E8 t4 ^! t7 L' p% q3 k; n. O9 P6 I6 n) Q7 Y) q- p
7 M+ f; [& d: Y+ D1 f 2 k# y( B0 ^0 A
8 T- ?8 ^& @: |$ P 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了- ^% Z, C; K# o* C
* `4 o$ _' \% r' d" B! }( a
! U( }$ R- y- c, N1 h! |5 k
 9 U$ W* \2 b+ H/ P5 n+ W6 c" u
, X& A/ Q) T. N8 e( c
1 F$ w* I, ]/ B9 R' @0 w: |
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ! \: h- s% f# x% h) h
# I/ ~" r9 `$ x8 M1 b
' P: ]2 } X. G+ T* b/ {  0 X( w3 _; J, K* I' p
* U$ t: p7 W. N5 [( G$ ~' B
! b. B6 K- A" h* {* {" N
& z' Z! d) g+ W% n3 m% t
7 V, B j+ G" h8 u$ m
6 ^# F1 G, g5 A. [
; t$ [# u1 }' d7 a' w& l3 [1 c
( x; t( t& {, \& q" j* A' c# W
3 E% O4 J5 g! K8 w1 d7 z4 M 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞0 h0 T5 U5 C- ?2 ?
! h1 P; |3 z8 V4 [, ]& U: Z
+ P* s2 ?/ V8 J
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite3 M6 a9 r- @5 C) g, L e) E4 j
! s4 ]" B/ \: E F7 [, ^
4 h1 d& j: K# |4 r7 l
$ }8 E5 f: v5 O7 i. ^% ^. ?3 T 6 ~' p5 U3 y4 e+ Y: w; f
. {, Q/ c# z0 `1 y
然后发送到intruder,
' l# C/ E4 I/ x! A
* r0 @, q5 t8 O8 Z3 r9 E8 ]0 F# T3 s) z, E, `# M! v/ G0 c
 : j8 J& A/ i3 s6 ^8 r9 y1 ?
+ S" O" s( Z( Q; X* X1 G( _' T- ~, \) B) s5 d/ c; f
Clears(清除变量)重新设置变量5 `9 ?4 U) ]! Z5 _4 G
: Y; H! Q2 R6 d3 e4 T
$ Q6 v5 f/ c1 I5 w c  . ]" F* A" \* g+ d; n+ `
$ P" t1 j* \. Q5 }+ E$ h
3 V8 ~2 W* K6 c5 N& E  ( O8 _9 H: I+ d8 o8 N4 v( l
% b- X" |: n' O( p
1 {, K3 G4 y8 M. d; q 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,& l( e4 Q- B- |. g1 H9 Z" M, K+ o6 l
/ ?1 d2 ]5 F' E9 m$ T' G, x6 V- G7 h3 B. w
- e6 z# G" w! f" `3 r4 a! _ % ]4 c0 K3 i4 G- k
% l; K! Y1 u5 u' F# [) u; e2 c
( f; q4 H$ H, n" E4 w
! z! Q( e U0 E" H; G$ S. R9 S' V; {/ E* Y; H$ m
6 C+ u/ b0 [6 H( C0 O
( @1 a6 M" s* h1 N6 b1 |2 g3 ? % U( V3 `% H. D% D% L: @' ^) k# S
3 e- |- C9 D) j: H7 o; _
使用正则批量替换,替换%00为2 J* j \; O/ B" i# {, [
( }1 O' x; [1 u( l4 J. B, b1 k. _# ]
( u3 D7 y8 ]$ i  * R; P8 X8 [- F( ^1 I( O
8 v/ A1 I# K& L+ f7 |- e9 d7 |
- h, |& H2 l9 _, W 下面用迅雷开始下载! K) j: v: l% a' ]' ~! Z
; N5 E( z8 m8 _& O8 M7 z. a2 m8 l
# [2 T- C) ?5 V9 ^- k: g" ~ 
0 i" [9 b% t& G$ z2 A+ D& Y + F n) y5 L8 ~: m* E! B8 q5 {
: v" Q! L' X1 Y- P7 `" r 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:! e1 `5 x# W" I
2 ^: A" Q" M3 r- M
0 N8 K. m Q! J" r* f3 ^
 # `' p. W; o/ G# C+ _
, t: [# n6 H6 m! n+ d
: }& f+ r, B7 d: r 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
5 M) O; M+ s" b/ V% t/ ~. O! e/ `
* [3 }! P8 ]. X/ {6 d1 |+ r3 S& c+ W
& }6 A: r; b5 z
9 C, h& _. y# g5 i9 `
8 ^7 @. t$ ~/ `2 |0 A" o  + j8 F9 Y) t) u# Y! G
" A& Y0 i7 S* x, S
( }0 O- v, o+ z: U$ J1 k 然后上传图片一句话木马如图- J$ {& a, |" P! u' I4 X
M! D' k0 A) P% N: f
4 e3 K+ K( i2 y9 Q2 o( @! H$ }" ]7 V 
/ [: E1 D5 @7 Q1 w. s/ b
! Z' Z0 i5 S( E: s) g. k9 v, R6 m; g q$ v4 a0 @8 M5 `# \7 F
下面我们来构造一下包含url* {/ C; B6 t' F7 K1 b" R3 W
! B* i/ D+ L+ _9 E8 ?
: J- `; S) t" R- w* S1 L1 |
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
; i- M' \0 c Y, R. Y: w 7 p1 @( i' A& _" W( u+ J
( n1 ?5 D4 q. r 下面我们用菜刀连接一下,9 Y$ {0 {* l. o& Y
7 K2 j: B$ Q, [' e7 U
4 U8 o- W) S' e" r% @- q8 Y 
8 h+ ?4 V$ C! _; I3 t# y2 H5 ^
1 \! f' z8 d; K% v- S$ R- r. W6 V5 d' m
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子. _6 ^% |8 v6 b
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}