|
5 w3 d& ] @# q- \) D
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php - Q/ ~8 k3 u/ D" \
' F1 C) T" \% ]# g! ~ j
& }6 W. W- J" ]6 D2 I2 V! [8 y; c6 f 
. p& e/ [. K1 q7 ~) r ! N. w: w; t u2 P$ I. r
7 k% D7 j! \) c0 ?7 g! o$ C" o 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
" Z3 b: X+ H; R
8 E$ I% i6 P# E
8 @: I. A5 H4 r1 F3 P8 c5 `  : @6 f2 _. l+ \2 |3 K+ I9 j/ [+ O: P
0 B5 {+ d( n! X2 k. s" T
! N1 P1 i' P, e$ ~, W4 Z. c
没能直接包含成功,试试报错1 G! c3 _6 n, U T" x* h
5 W5 c: ], n+ O+ D
! {, a+ e1 W" ]8 `3 A5 g ) ^; Q7 y! s7 s6 Z+ O I; \. B
9 X5 v; x5 D: ?, E( t1 A0 `0 G, O. f
$ C# P# ~$ N: Y T1 t; F) ^
! d! S0 I3 {$ _9 k% W, y& O! q1 _6 m/ t" H: ^% U( r
# i, f l6 z0 S! |
2 K, k- T) ]6 X7 U8 x6 ?
^: k% u4 o( B0 E$ m 4 t5 ?' T& p" ?- L
8 q6 ]6 ]' }% W* W
+ Z' S) j8 ~7 N) D% e
% Z5 K. e9 ~% \$ |% t3 Y 7 V& t- M m4 Y( @/ m
3 L' e5 T8 S& [: s
# m, t% t1 c" ?6 Z
! y T4 C' ?6 s. G/ H1 L! A: z5 q8 f+ ?* G Y6 C
0 ~0 h1 @) [/ K6 A8 W9 S
5 v8 f$ a9 X. K8 V- l* b
2 J0 \! n# u' b- B2 I 
- J0 X! W$ l$ r' p
9 e, S7 {& j; t( P
1 g( V1 P4 s5 j 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了( y( d8 e4 B+ G
9 U- z* n" C/ w7 Q* S
' X) ?6 J3 U' k+ ^1 `
. j6 D, ~9 G0 N/ k; E% q2 l / v; a' N$ Y( ?# Z, ~ z
) _4 T! E% F1 K8 n# ^: m/ J 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ/ a; u7 U3 T% h# k
6 D: F2 \ J# t L* B T
0 d" c1 J! D6 c) u 
( h L i9 E; [; [* I: P 7 h6 o% K9 g! s
0 \# {3 I7 G7 X& m5 r) F% Y
Q+ p, p9 r, L" o, D, m
9 u* M% m4 y; ?# C2 [/ p' R. q- S' M- O* |
! c6 M9 P8 Z$ K* B
, }! D' `9 Z4 J- e7 \# k
" k5 C' ]* ]+ V4 e! Y
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
& ` j" U" R: M$ ]- ~ $ I8 g1 G, n& ^; Q# Z
0 h6 g4 @7 e9 T 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite6 `4 ^8 |0 e# [5 f- e! r6 c+ w
+ R8 K: t8 F% ^8 k$ P
1 E d' u6 f! t. r5 D: G% I0 V- l b5 x 
! H5 X- K; e& G 7 w7 F$ W: V5 z
1 x+ R7 X- ?0 B+ q% V- B$ o. Q, R 然后发送到intruder,
; x8 L9 D. s$ C( {: K $ K% ~, Q6 P( I& G0 b* v3 s
3 U( i/ ]5 A4 p& W8 t  ( U/ Y* c9 x6 n
6 s! ^( J) B w$ s; G4 S1 c* }, R$ T
$ x$ [& n2 H0 h c$ k Clears(清除变量)重新设置变量- B* x9 A" w; `1 G
7 ~& @8 G- ]% s5 D m7 V1 C" d6 z2 f; z, I' h
" ~) `: O" s3 V* ]. S& D2 S
3 v: Z/ ^, G: X# y" t7 o2 ]# n+ b* p9 f* I6 K, S; j
 0 A4 w5 \1 S: _5 C+ n8 J% T: G
* Y, x" l( @5 w
: Z5 W' Y5 u' u; u* @! Q1 S1 | 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
! G' f" T+ y4 h, u n1 w+ A( R z 9 I+ W/ z; t4 B' B6 f
. t5 l6 \9 i2 M* ]3 t9 b/ i2 z
) ^& x- r3 H) |& j
) L1 E" q7 N1 V& H0 P
4 k1 r4 u W/ C \! ^ + D, O2 Q8 f8 m2 g
4 c4 G8 C( p& i6 A2 _1 L
! n# H% \1 G5 {2 S1 P) A
& Y6 K5 }5 u2 k2 ^; N: q5 P 7 W% Z: M$ k8 z' r
2 [. @% v" G: d' C
* I6 w( k: g9 w0 q, U2 s0 D; [; K 使用正则批量替换,替换%00为( y; H& _8 Z1 {* O0 w
; l/ _. H2 [( x8 j
& y" x5 Q5 t! {+ r) x  $ Z5 _0 h) A- Y* W0 d
/ x1 l4 f7 _3 H" d; q# L3 Y8 ~
+ B( ]3 A; \! j0 u; |% c6 ~ 下面用迅雷开始下载
6 d7 S, u1 B6 ^
3 Y. y: w1 ^) o9 U3 M* w/ x8 J, t
$ F3 N0 h* o8 V" N3 S: _, { e 
3 D/ Q( F7 h" a+ b2 s% { 9 E6 B( [2 @. m5 P( o
) o" O" F* x: m e4 U. \2 X3 o. d0 j7 B& \ 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:+ }, I, F1 `9 V5 U, C- [
7 k b& W; V1 H1 x( F0 S
" d1 `) P; g# ^1 o# G 
0 t' k" i( q" g1 {0 J, P) k, V: y
8 W+ L t" @& I5 V! w* n& f
$ P2 T, a4 R6 ^0 Z1 s% d3 m 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:/ v6 m8 h- ^) {% Z( |
% P+ f" W. G- _) o1 o: E) D( m$ z& \0 W) S
 ) Q9 b! E5 |, k W5 W8 U" K! e* Y
4 d4 ]; b, m, |) r
- O) e6 e5 [& T3 u. [  1 M8 f; z! k9 D- ^, \
! S+ B1 {3 }% f. u4 l9 v$ b/ f
. z# H8 b! n+ ]9 r' T& T' ` 然后上传图片一句话木马如图8 [6 c4 E! ^1 p) w) D3 G
0 {5 i$ E- C6 v e. x
! n* ]0 f9 x: L6 h6 a7 n
 / x. l+ n8 f) f- C
[7 T3 e- y+ q7 s& K
: _; k8 M* T! X 下面我们来构造一下包含url
& M$ Q5 ~2 J! \ } . f6 @1 M" w7 ]) G, [
0 B6 R$ O. ^" U/ ]/ z8 `
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
8 _7 Q- O; e- b9 t' K# Y# M 5 p8 T3 ^, e( v! Z
( W. f3 S, z' ^. q- X8 e 下面我们用菜刀连接一下," C# i# I0 b$ d6 C: G! L2 B
% ^# G2 p" o2 J% V1 L, k4 i
0 D9 t8 N, z+ r0 ?$ C5 S- X  $ R$ L; G: M% q" j7 E, r
# `& c+ [) e1 W4 d& }# k9 E; i6 i" j4 J
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子; R! f+ |, E) b! g/ Z1 v
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}