|
8 w8 j+ [, q* o 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php / i: }0 `4 |# B7 d0 r ]" V
6 l/ \; Y Q% e2 P, `2 i
. Y7 J) c, a' Y: w  6 r6 L- O( `( Y r+ ^. j" o+ ]; f
+ V k* |2 w9 Q5 s6 j, k$ T! S; s$ O3 ?( E
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
8 G6 J- |4 s. S + H0 M3 t+ v9 m1 f
) o! O" q5 O( [/ v
/ W s$ T# |# Z" i
9 v/ M- T% k" J2 \0 T0 I+ V: B0 T
3 F0 m$ h( j6 O i' A$ W 没能直接包含成功,试试报错
9 f1 S3 }4 O: {% v; \- W + M# {% M% @, U* P% r
- k" Q6 [- s6 N w, D+ Y
+ y: E$ G8 O% [: b' s * C. k( z2 Z5 h( y: K0 S
2 z, A0 Q: I) d6 Z, d+ [8 G
1 p6 F8 J& }$ ~/ z
1 K9 x \+ `1 d* L- T" z: U5 p0 i4 C+ v
- {# i0 G" S. i7 E9 m
! j3 n7 h8 ^ V. G$ W7 I' G7 y
/ m8 R' n. V7 ^: S I " H V. a W/ p3 w, q" {7 A
% A/ V. c- ^! r8 J5 Z
6 E9 z Z# Q; x- \& N" p
! `1 k3 Z( V% G0 k' W9 s
$ h z# b* p/ u' [3 O0 W* B4 @
2 I6 v; U) x% h1 r3 J8 ^
/ }, g7 b0 d2 ?2 E ^
8 L. i4 X+ k$ r' x$ s
; E: q6 I; E; B# y! h* D/ } 1 S! A8 f6 ~7 t+ \
5 _$ \& f. E- S& s! n' P$ L* v
/ x, ?% I9 t3 \4 Q1 v; C! Y  ; V1 V$ a3 b. Q7 T- s
1 a" D v1 W. X( c% d- D9 u' X a+ q6 f3 [% G
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了. V* ^) I- o2 t7 `( E
/ o, ~$ U1 `" J A5 [6 E; t+ Q/ M+ D2 O1 K
 & z0 T& u$ j8 ^: m
' W H- D% X' ]2 i/ T2 _5 O! n6 p: {1 Y$ F
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
5 ^: R3 e5 z7 W( j7 d. y$ e, C 1 U" V+ F; f5 k' P+ c$ g5 w0 F0 \
! @1 B7 Q" W, o6 b7 `% z ~
 ! p: X# I" o- N# z
; J0 i5 t, N3 I% c" k W
4 f: ~4 s8 F$ c1 G0 c - g' M) w0 S" V$ D9 q3 p
" C) L( G4 d2 F8 J
/ D, l0 A7 p) ~( }% z3 U( D 7 q2 _7 v4 t8 G; Q+ j
9 a: p" v s g- b$ ~
$ ^9 L3 w% L7 M; q
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
6 C# \/ J/ m; l4 W
4 H3 }, |4 W+ |* T: V3 o, ]+ S$ W: U
3 t7 d( m: f4 z+ W+ \1 O* m 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
% N3 \& k, @, ~
% j- t+ v- C$ O g4 w5 Z; z) m! A) U/ H
 ! Q+ \' O6 g& m) f6 B# v
" }4 l4 \% a; c: g" y, }. V' c$ `- D9 A# z! R
然后发送到intruder,
9 y, y/ m! Y1 q
4 f$ F7 ^* \) x+ {9 ]
/ M h3 x: F* \ 
6 `/ e* `: Y+ |2 z+ _& b 6 _! {# y* c! z9 C3 U
: V6 M: `2 \- `3 |' I
Clears(清除变量)重新设置变量" @) `9 S# {' T f; k
* e' B# K# J) y+ z; k5 U% i8 d) j* i# z# K" b
 7 o) L3 ]1 A' f! S
. S- b: s) o" c9 h0 n
8 @- H% c) w% T6 K: E2 @ 
$ K1 x2 _: g% q3 D0 D+ U9 m * ^: D1 c [$ r
, K" u! `4 F7 b9 C. y) ?/ a, x
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
2 \+ H f( a3 l C& V5 m c1 r M 2 x; Z7 ^% r- p% y3 _2 C
( ]8 k+ g; j1 I8 h! r2 p9 s7 B$ U( r
8 y. H" {/ S4 p8 l- d; U* d9 O
; S4 W* l: d' j$ P/ g" F+ E$ s
9 n: ]1 R2 f/ L' F
$ l4 c/ U* _: c2 p3 \# f$ {1 U - a9 u; n5 @9 ~( s5 |7 i9 f! u
! W6 R B0 s; q( {
5 _ `4 U! ~) ]- ]4 A$ ]: r: M
 - g6 u" n0 b$ z; l9 b
! K0 W' I3 o W- a7 \( j( F8 s1 ~" T4 R% X8 ?; ~
使用正则批量替换,替换%00为( A8 U- \2 T+ w, r+ f
& F* o7 x2 e; n
" X0 N3 k8 [2 H1 ^: T  ) U9 r0 Q/ t, V5 P
, }& m: f+ M. r4 K$ O: O
" u3 c5 F2 u2 a! ?. `
下面用迅雷开始下载
6 e5 m3 Q. b0 {+ M$ w, `2 Y $ M2 q% M0 }3 n7 ^# ?9 O" G
& h% S) [7 @! f' h) d: B% x! c  7 W- d! e& X2 c+ ]% T
/ S& {3 y6 ^% \# C4 v; _% b* c$ x$ [
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:/ ^+ G- N2 R. } [" y1 B7 G: O
1 _- }6 o) X+ m; u
; i6 z" P6 j! s$ z  # o5 ?8 Y( [7 D) ~7 i
# O0 K m# O9 p1 V
6 t z6 A: g# Q# P 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
. ^: X0 E- y2 Y
a; X* i2 ?$ ]) i1 c. l$ x
! a( P& z' a1 g; z* T  ; p$ |1 @6 U6 \
5 k( R' w, p( V
/ P' x- Z1 G2 U! k 
6 O+ M; y, a5 {9 A2 s
4 w) |# l- f5 r* k& s/ D- [2 R4 d3 n# \8 {0 S, g3 T
然后上传图片一句话木马如图! y( E0 u4 T9 v/ o
* O, J8 \/ h1 m; C
; T4 c: R; j/ m: P1 L 
* i$ P- Q5 f$ J( L+ @
+ t, C/ b% K3 N! q. c$ Z7 u, X% \( ~) ], z! K9 P; `
下面我们来构造一下包含url
% h# e- U2 \+ Y
9 {$ t5 _' I8 Y/ {1 `& a4 R( U2 Z# }% u( P1 B
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
/ e: b+ Z1 W! A: H7 k" k
+ [1 P W! s _: a9 g- f1 j5 m
( [5 |% H7 l6 H. D- W" [5 H& g8 @ 下面我们用菜刀连接一下,6 n1 j0 o6 d9 w- K ~# w1 Z' r
3 |$ p* f9 A' n: B
" \1 p# L7 y) ^+ l* p 
- l% w' U/ f8 B+ f 2 X2 z0 E$ Q* v4 i% t6 X
- x5 D! z9 G% f+ q( R) v8 k OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子( j5 a `, b* H# R7 p6 ^, B
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}