|
& [& I1 w/ t& E 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php , ?2 n5 I3 r5 N: L
I" x" S. D) I1 w! I2 f
2 u8 c6 `7 ` R # Y& p' }! r" o. J
* \( C- C! z( Z+ X/ n
9 i. c2 y+ g. O4 V
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞* v+ L4 F( L/ p! b f
{+ O4 ], h1 H W
0 U) Y& I. Y3 {# f, | ( H: }' O2 Q" T( m* l1 g, p
$ V# Q+ S7 r& Q+ ?- X. ]
. c$ U& [# Y6 r
没能直接包含成功,试试报错
4 r' j7 C: ^5 j3 x " \- r4 o0 s3 k+ p, F" k$ q* m2 L
; S; A& R0 a8 _4 m; Y! ]6 F8 o# I
_+ P, V. {1 w: y5 y3 p& r
$ `( A1 L$ Z. }% E( ]
4 H ?8 l0 A$ k0 b
& L3 g$ m$ H+ E- V2 S
4 e9 U& a) S* J# Z- f+ i% v4 ^# t' G! z4 H% F: U9 o: G
5 E0 r6 U$ T* v* ^1 O
& U+ i- |: W2 P3 v% X, ? J
* h+ {+ U* r& V2 v# c M ; @- T5 I! \; k5 K; R/ J9 T* ~
9 |& y% l9 D4 V' h( ^
6 E' D% d; d6 h) a0 A x. T! c: N; y% W; `) f2 Z3 b1 ?" J
- i2 Z3 b3 W+ g; b/ r+ l. ^* ^* J( A
+ {- b, T" @+ C- c5 o8 H4 ^/ r ! J ]( Z% P; l( H9 ?
5 C1 I/ S8 c( i* p, v/ u: A2 L) k
3 ^) V" U! q. } i/ w. C' h
$ M% k/ A0 w- ` T" p/ T u5 z; }
; Q* b; \+ T- Y5 z( s; S7 }
# D; h. | l+ d5 b( A& r. G
/ c4 b8 M' o- N' A' D4 c
; e) ]3 Y! [$ C" @% Z: j1 T: m- t/ i+ P: z: `
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了6 i" _( p1 P/ Y
8 X6 N; d+ C7 ~% a: K. s. B
4 y5 W9 t, C& p* @
) s. Y$ o0 s; b0 a+ u & [& _) g9 g5 {6 Y4 K# a
3 |5 o8 e5 y* m) M+ N. M
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ. o4 u& s% r8 L- D# r$ C3 u+ K
4 C2 T |' R: M3 W2 r# C6 Y8 e( Q( P' W4 z+ @7 X
: b& A! p" [# J; V. P
1 k7 `6 \' ?. G( |+ [0 b$ V7 j1 |$ |. _9 K7 Z f a
! M, f7 ^: ^- Q0 G( _) Y6 o
; R. j9 @% ]8 J' C( f( ^/ p7 f7 A! t2 S, {- E: t& P0 @* N% G' W) }
5 C6 G4 D/ G* B- J- v I2 t9 _" }( l4 T7 m4 P
@0 W& p) F+ U3 A- J) t 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
- N% }4 A1 {3 P, \* X) I8 O ( p: ?9 z+ d+ d4 x. N9 f) w, y, c9 w
/ F" p: Y! w c8 R- k' O5 T 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
/ y' Q* {" U, X
6 N- S: _7 y/ |9 x a7 O- Y' q
0 y- S5 r3 Z5 Q7 W7 n/ {3 H/ m4 ? 2 r" V$ B# {9 z8 a) k0 W+ Z) h* \
% C- \* B! t% e4 P, [( t; K+ `
# C: q0 X0 r/ H# |# H; P 然后发送到intruder,% b; ^( u# z* i8 m
/ \; ]3 Y& x; _. k3 U; @' R2 B8 ~& B' D& m
5 V8 g5 @. V9 b7 d
% m! |# z" L) J1 P1 X2 } b* n
: q0 L/ A4 a+ N3 Z Clears(清除变量)重新设置变量# A: H9 p( Z& S- t
! p! O" O0 o) ]& r0 U
. s; W3 N) h7 q
; m! C6 C. W) b
; a3 C, N1 Y6 }8 M& C
. F x- d' d" \# v2 o ?9 B
x* E( q: Q- o
5 F, f8 K* c& P+ r5 f0 g/ ]" M# S$ p$ s. E7 o3 ?
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
6 P+ a! \' l% T& m- n" ]! V % `( _# w. U/ O8 W; b+ Q/ F/ k
& n6 }% }) h, p- _' u: ]! {
8 Y# l* z) L) O& g3 }; a 7 S2 |2 _ ^) U
: L: B# N( U9 I6 }2 n) k9 B1 a- @& `
% Y. B" f5 n1 ?' D1 B1 q
$ _# Q3 o c) ]3 b: o8 e. _
6 P+ Q q' S; x1 M. w " B; x; ], G" a+ x" d9 A/ Y4 O4 n8 K
/ i: e- s b, U! ^3 F
, | T7 J" A( e8 ?
]0 [% N/ v* Z4 T 使用正则批量替换,替换%00为
. |" N' B# w9 f" r! _* R% @ 4 Q0 F, U* O% w7 b: ~+ b# z
7 K& R# i# P/ E2 V3 G # g- {. f/ M }0 C
5 U' [8 N9 ]/ _+ Q+ q
& d* O! J' W( }& m 下面用迅雷开始下载
$ ^2 [6 G$ @3 z8 i, Y! O
: k Y U/ r* k+ l+ L" k" S( d& e) y
7 c) L, Z' r$ W( _9 k' F3 M6 M
, X6 u4 W6 G" ^5 f1 V4 W$ w$ \4 c+ m4 q, u
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
) [! h, h2 L& ^1 |. w ( c* b, N0 u: ~5 E1 ~. p- l
- n3 A4 x0 `" F
. O7 [; @/ _/ b* w6 G( e 5 h$ M, u" A9 T% w3 T/ w. f2 `
, o) K9 I( ?, \2 C, u8 Y4 C
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
4 b5 x& @2 ?& b" e
! h f( i) Y+ ~8 D/ K r' f9 H+ |7 d
* G. N/ Z' I: U; w' P( S
" |2 a! \1 z Q
( u* H, E+ p# c. V% Y2 e7 c
6 @6 B- ?. u: F) f3 E' x; A( `
! Q6 `2 ^* P p ]4 _
- j, }" A. w0 B 然后上传图片一句话木马如图
- Z9 Q9 U2 e x , T4 K# z) a& b( S- a# B V
$ W- E3 s( r' Z: q5 @ - P: H" l$ s9 H$ q1 l6 r! X
& b8 Y+ N3 l: e4 ? c3 v2 c5 m/ x2 K3 ]
下面我们来构造一下包含url
5 F9 \5 Q; C" z4 Q
* d1 V0 p: p r9 ]! Q& ~
2 y; B7 b! J1 o" I8 s9 j& o; o4 w http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
3 q" Z& s+ k. c! B8 R 1 p. T: _+ z4 O @5 m: Y
' u: y( X, e0 g! T
下面我们用菜刀连接一下,0 k5 h5 ^* c/ B
) h% k: B3 `4 v
) }0 Z# D& j m* S, _% ]* f. C" K% G
8 n9 x3 D4 y' B2 R7 P5 G1 C . E+ N7 m2 c% }( Z# }& ?: G* S1 N* y/ e
* g8 _ N3 h! ~5 z0 [; t OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
7 n8 t' e/ D' J2 U& s$ D* ]. c0 x |