|
. ?9 m4 o4 H* ~( \! u 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
, B" d- Z4 B9 t! S+ m 9 G( v/ t( e$ E A" B# @: o4 G
: F0 |+ B5 ]7 e0 m 
/ E8 j! l+ u+ Z7 ^! [0 O( `0 ^$ N
" {1 F! O& D& V5 H& H: {+ C- C6 e& {
2 S/ U9 D) T1 N9 o( `# M) G 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞9 O- U( _( K% p) X
! M" _5 e" V z5 }8 k& k
# x, j+ L; v/ g3 e
 * a3 T5 O* A1 N9 K) g" ?0 ^
h& k Q3 m- i1 R- B" k. J. W
) R5 m/ w! u# ]$ a 没能直接包含成功,试试报错4 Q% n6 q L3 o& o8 t& |) |
" E: {' F+ n1 J9 |$ S
% E$ @ y3 r- c v# R
\% l2 } ^- o. [ ! j6 ~, C3 p+ W M4 h2 k
( p; h# k, F1 n& }# P7 P+ T6 C
! B( y, {0 D' J # ?" C! A9 c0 A) e8 X/ e/ Q0 k/ }
* I, k- j0 r8 S& Y% _, R % i( f# \& G2 R3 Y
, n6 ~6 l; }4 m4 w; _$ Q. n
4 p, d9 O, |" M5 ] 0 X3 b2 O# K3 o) |8 o. p3 _1 N& a
7 g% z4 {" q6 d" d
' x; p4 Y4 E5 I4 u, Q5 N$ \
x3 Z: ?6 r, T 3 W! Q' \7 ~0 O1 N* l; H% U6 H, y3 h0 n
9 o% K& D/ B1 U# \2 d
9 s, x- m5 ~7 c0 F/ B$ j8 p
8 u# e1 N6 m- G0 _
2 ^' p, j( f7 ]& _* _0 P
& V1 C: _0 [2 P9 k% S
" q/ c3 _6 s6 L. z; F$ ?
# x7 M% C: B# c( h8 D7 ~  ! \, y/ ~/ t1 y; X. f$ ` j
7 ^5 v* E0 u, ^3 Z, s* O& n
# e" \, O5 a, q8 b 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了9 L' ^' {# A7 D, X
# c9 s: }; a0 I/ t( i* I6 o; V' R' u6 M6 E; q5 Y. H+ C, Q9 f# F
+ R3 h1 X1 J& i9 @$ G2 }
M* k" v% C. t4 p% E9 V' t7 m$ v8 x6 c6 [
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ0 U. }1 H" N% h4 t7 ]4 U7 a
* |# b% L+ K* [/ z/ ?* U+ B
2 g) A/ t& E# a0 m" g M$ ~  / k% r# S! l: t
7 r8 ~) i( g( O* ^. K
. s u/ R: Q" h2 I, a; [
- M) |# I0 G( I0 ^2 m9 ?
( q! C, b" A+ k; s9 B' v8 W+ t/ b7 R! I( T, Y: f3 Z- Q9 N& T5 m1 |
5 b% N9 o- P; A
# l( j0 ]* n+ p- r* [
2 Y9 v5 q4 c8 W. {8 F. H3 ] 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞: v) A, ?7 ^; x3 A. A* d1 ^5 A4 _9 m% }0 u
! F" a1 L' B+ U( P
' a/ |% e: X- V4 |- x/ M
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
8 O1 b& J4 j1 A. R& B1 K- I % y& o3 R# r4 q9 D4 c# a
3 W e' X. d0 b( E
 ) w" ^2 ^9 y `
- K& [, W7 d$ M
% r" D6 {0 l( P) R! ?% f
然后发送到intruder,
& P* ?, t, w4 f! w+ E
1 S+ _% b+ W) ?* h! J1 j; E. D, Z" Z1 @9 G6 |
 + ~: G: w" h1 i5 u/ c* j* H) F3 ]" _& N
4 P& i+ p" V `7 \# V
+ L3 N* M5 V3 J" }! l) i' S. o
Clears(清除变量)重新设置变量
$ T0 H9 Z) w' i2 J. F: L& a, y- R
* y& U* Y0 m( Q/ ~" c/ L L4 {7 ^3 t9 r
: g8 t4 o+ l# u, a+ Z
5 e+ i/ x: H) t7 X
2 p2 C- h& J, n+ c3 a! D/ v 
1 H$ j+ D, D: c: f4 v, ` ( n$ ~6 L+ u$ r4 z& Q* X5 n
+ l4 B/ K* k5 f3 m4 `2 d' D 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,. D; J$ `" Z& k5 Q9 B
0 a: f' i- B$ g& D5 w; F: }' o
4 d" o1 e" n1 Q8 `: d. q
' ^4 C" a1 j/ |! D+ Q
$ z# _+ c* m/ {+ E7 ^
! U! |6 V& @( g7 a
1 R+ N$ ^2 Y0 z: P* p, E
. Y- w) [6 K8 \9 K9 K& o
) V, y2 J. c G4 ]/ [. B
/ H0 J8 A9 e% @+ s: o) ]+ t 7 l* }* h' Q- I7 B
( ~" L" f% D5 h0 ]& h; s; ?; k! x- Q" M# k0 {( ~! |
使用正则批量替换,替换%00为
2 y2 b% ~$ ]* g L% a2 f6 [ * k6 W' `1 _+ P3 M) @, Z; F
3 F6 @ r/ y) B0 T9 V
 % D" s% m/ X. H1 }. O
9 m/ _, C6 w8 T- L0 m2 [3 o' D( r$ Y! D
下面用迅雷开始下载
3 f' o, u& ~2 F+ v0 `% l8 N % x8 K' z2 ]: c: x' A
: X! I" @ N: f
 3 a+ G2 U3 p$ i, D: b# }% Y2 u
! Q6 W3 t S5 G! p
1 G; A! @4 q* r! B: \& Q) B 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:) M; {" D. W. x' T2 @
! B0 x$ _; c9 t; q7 G/ d m3 `( N% A* P- i8 H# y
/ J+ N: H/ v' I, g5 e* L, R
4 l- ~7 B. ?$ l* a
; z7 h* a9 b3 g; `. t 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:1 R9 T& _% ]. _
3 ^4 V% c5 v+ B; ^+ q0 j
% p2 \5 h6 n. ^ 
/ V9 [- u; X* D 6 b) N) b4 h3 Q P [1 z
. u6 F' R6 i" u, W6 |$ E# G" T 
- J2 H4 a- {1 P2 b4 o) ` ! v3 l" R' ]2 C) |8 A/ u
1 N e% ~6 a6 `1 |# W. q
然后上传图片一句话木马如图
# z$ t; K% E5 y8 I' e5 I2 x" t$ B
" S9 N% C2 U8 }4 z5 R% |
% N, g8 S8 c! O2 t4 c9 U  9 n$ p. J# x8 N$ _
$ H/ L) b' ]! t9 v0 ]8 |9 V
% R6 D/ g& A8 Q- M: B1 s 下面我们来构造一下包含url
) x7 J. c+ A% ]
2 k/ Y* H7 H# O6 @/ D- b2 p
* G- v/ ?" P4 I/ ?$ L" d' }% u- t9 W http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
0 `7 G- a. b/ W2 T8 |, H1 B
, `- z! l! A8 h) g H6 ? x3 ?3 G: {4 `# T
下面我们用菜刀连接一下,* E9 `) J# K* ~% J
1 ~: s& T( M, x* Z5 O1 k3 e
! V9 q D# z' L8 D0 `  1 K, p6 w1 t( T* k
U$ X. B9 }! y3 s4 O: h/ }& K: R% d) L7 |$ B) I4 Q9 ^
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
1 O9 N: W' \$ K# x5 o: T# J | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}