中国网络渗透测试联盟

标题: Linux本地包含漏洞入侵国外网站 [打印本页]
作者: admin    时间: 2018-10-20 20:17
标题: Linux本地包含漏洞入侵国外网站

. ^3 c) s3 U# m+ ?5 H 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php ! T" f7 d0 @0 V

' l* O' s1 @4 G

, ?+ W. x4 p8 s$ ?0 E! q   1 V% D/ h2 g- ^# U! K" U6 _

( |1 V6 S% z: |" c0 ?9 Y8 {3 L8 Z( S

0 w! s9 `1 Z6 A8 o7 J& c 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞: W1 l- K" O5 j$ `

" f; X3 I% ]% O

w. f' Z3 f% i* t# Q* h8 [   $ t1 ~5 W7 M5 |# Q* U+ y g

0 \2 n1 g5 B8 K3 M, |

! `4 O% ~& s; A# F/ i 没能直接包含成功,试试报错: W* w: d! d% q

8 f8 ?& H0 q: h4 g+ Q; V

1 Y1 y8 A* K0 ~8 W   * g G5 s9 I$ {' l/ s

& t! p/ A. ~5 g% e. U/ [! v }9 M

" U2 x5 c/ |# \  % @+ C# s# H1 ^5 ]- M) R _

. l/ K4 ?1 s$ }/ U2 E

* |% A1 o9 }5 B( s5 x   & l/ K) O2 [8 n% G7 W

4 b" i8 h) Q* K& u

% X3 ]# Y1 R$ _- k: K+ `  7 y5 u; c! {2 w! ~, f3 P/ N

5 D2 T, w. ^4 y+ R

' ~9 a |+ r ~( _1 T4 s( P7 Z   * P0 h7 U7 J# \, m0 l! y' V0 `' m

4 ^6 U$ s6 b7 \6 V! b) E$ t' t. K/ b

0 R" ]9 K2 H" I/ x: i  ) m* _6 A+ r) D3 _% P7 g( }" j5 ^

7 e; P- t" M ?6 g: `2 u

7 q" d1 c6 N$ P+ Z# b2 Z7 l6 p   $ i% y' i* d. Z

s' o; a k+ c0 M. R* l. l

5 S; Q' Z& t9 U8 M: Z   5 t+ U9 x7 P; k8 X

( r e" J- G+ ?& A

! l, P" D3 Y$ K% A0 e 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了 # q) Y/ t! |& C) n K

( ^) G3 n1 y, p0 r c/ _% v

( B) f, ^5 ^) y" X2 y   - O. W9 X' B2 {1 E

, }" s# ]7 ?! b( r& B9 G- _

6 ~/ w9 E8 u& A- @ 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ5 r, r- w( l5 O5 P& A. v

, ^2 b0 p( y% p, n

6 M% S# B+ V9 h" A; x  1 e4 _5 p) a8 t( ^

5 T7 m8 L9 c5 Q$ t/ m+ S

% X5 z/ |1 G @6 ?. I   , B8 q7 k. e: V9 [& `, H

+ T; J! X( x8 E

5 V8 d6 f: ^$ a4 x* f2 p  8 i2 v+ C5 ?/ A

* E$ Y0 d; Y& @+ j1 \: b

/ c' c$ ?& y, h' U3 J 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞2 H& y0 h8 G! L& W S# L5 k

9 G7 [$ _9 N9 b9 @4 }3 F2 K

$ X* u7 q" |' n 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite 7 j: r! k$ ^! N a7 T

: V8 ]- q, w! _( ?) M9 [

, s( V' t5 a5 M* h. E   4 v4 \" [% Y; a% ]- \: L

2 O# V7 i3 z5 O7 m, X

7 Z' W. n+ l8 s" _ 然后发送到intruder,' l: v! V7 H; c8 {2 f

% L1 l `# R2 m: V

. R" h, _5 T4 K7 o; o! _   $ h( Y- I' i8 O- ?$ O

1 |; `7 X8 _, b! h9 Q n) T

. d7 l9 H5 N# Z7 [$ ? Clears(清除变量)重新设置变量 $ K' \2 J1 D) K" E

9 j" ~$ C, m3 {/ g7 s$ }

! M2 y0 Z& c! m% p& a  ; t4 D f9 A% V/ _& n6 D

( M( E5 _8 t3 K8 ^* o% G

3 R1 M I1 X! L: R# @' B  0 Q( K7 G" \% F$ w* S- V

* c6 e+ k- {+ j2 r. v" B7 [+ O

9 D+ |- v; |' y5 s5 K& p+ v y3 l 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,) I0 g% f' k9 N* N0 t

7 L/ e7 n4 b5 A# T+ y

3 u, Y& [. ^. _1 A; j$ l   6 }: K( [2 `- t. C( H. t" N3 `

/ d' r- s3 [1 e6 k

" }8 t/ r- G$ F$ q6 }' o1 S, ^   ; z4 @$ d2 \0 F) ~

/ E! |9 p! S g. W7 G

1 s9 e1 U* K2 g b5 |! n; }5 T
- K- ~2 z. K0 _5 Y5 V( r - s: W/ T. X6 X3 d- \1 @

2 [; N. d0 C; U- K0 a$ D

6 c ` u, a9 b/ Q) t# K$ n3 b 使用正则批量替换,替换%00为 . w. w* C& U7 K5 n% L. q, {

7 l; I9 M2 }! p6 M. g9 T: W9 N" B

. ^& D+ d, [3 J% ?1 G   7 e0 b4 V; z) V

8 m ^8 V) |$ Y* ^- \

' W% a' ^8 ^' X 下面用迅雷开始下载 8 R i$ z- B/ }0 K4 R8 n

S L9 f. }# s$ ~3 S, z- h; B& l

0 \: W9 w0 u- @/ u   ?' u( r4 ?8 t5 v8 q

0 T% h& A1 j3 u3 N! o

* e% ^6 L h- ^+ \# o, j 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:9 ^6 A. H/ l5 g8 [$ _$ g! I6 B

# p/ t# ]; C0 f: R. I. u

1 ?3 ~" `: z$ T4 j1 |  0 m8 O K2 i; ^ a

' m( S4 f; A4 y0 K

% y3 Q( U; Z; \+ ~ 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:9 @. D4 J) Y+ Z2 A

1 s) N7 i% {1 t( V

3 y) c6 [0 H8 w4 E# ~1 i  2 Q$ J8 K' ]$ u5 z

5 o) w& l- C! x

! Q# H0 T5 Z4 a6 [! f5 W   ! E) h* ~1 r1 R

+ p. }; ^' j# C( g

) R' C3 w% `+ C$ T8 I 然后上传图片一句话木马如图& N( n/ y, Y4 T. {9 W

H5 e' K$ e2 X2 m0 N$ x

# F: A. i5 H# s% x0 ^1 O. @   : [2 S3 i6 p; R- _6 I; ?

! g# ? ?/ T# p7 }' V5 o

3 R1 o# `1 M7 y1 L' B0 N 下面我们来构造一下包含url( S& x5 _- ~6 D' v0 \- p

1 y0 r# e% l/ K+ O+ }

: i' k7 I8 N9 H- O/ z http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 0 `: ^) J. j2 f' i. h

, {+ Y4 ^: Q1 w- C- {" V5 G

8 y% ]$ g( H! D; s; } 下面我们用菜刀连接一下,7 x1 J3 w" R6 z

0 T# i- c! a9 |' m

* V5 k$ @# t" d# t% ~4 z; I  ; E6 l0 ]' S( ?

1 X+ h/ G6 m) }( H5 o4 A h

# v: p! A9 c1 H: d/ b# E OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子 / D2 |2 L$ _& a) K





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2