|
3 ^. k O/ N, v- @* I& A
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php 3 c q) B* t" Q7 O! l
. D) o8 t$ K( W/ Z7 i: e! L+ Y: `: Y3 `8 D1 O$ B" Z. j
2 O l( ^9 C. i) r8 H2 ^/ Y+ S ) g% C5 H r" r1 G5 W6 b
+ \- [: ^3 N5 _) T+ Y3 I1 B
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
6 i7 ~/ ?1 G1 M8 @0 V+ Z
4 w8 p" a( J# j6 h. ^ `0 G/ }2 a" }
9 t {2 a0 N0 p5 h+ k0 o" Z) ^  / i/ C8 R6 l9 @& `& z! Y
2 \) w0 ]( b( n1 A
6 y" q: i* y: V" Y& d 没能直接包含成功,试试报错, N4 P! D3 [6 q+ }. C4 s) h8 M7 O3 M
5 B/ b2 \3 H" A
7 a+ [% @1 h6 d7 k$ Y/ i
9 r1 r1 K( |, Q+ b! m7 T5 N: s
) w' p' y; ]* g* k+ p* s2 V- L7 d j4 `+ V) `* |
2 v; D" }+ w1 e0 b1 ] J% ]- Q8 {
' g% D5 S2 N: C8 r$ G3 b/ S2 V
1 W8 s0 M4 g+ t( f
* v* J9 J, N2 Y- g+ v( m' W# f & h' }* C/ O B" r2 H
1 t" L8 C( O& M! g/ y% j7 z7 s, {9 [
1 r1 |9 m; A: l
! q6 O5 C; Y. _* _0 |1 L
9 q/ _& h4 e R. R7 j: a2 K
4 n6 ^! }2 r5 u. D1 \- E: g: W3 R
* ]) [" e! W7 S* [
! S. ~ ~4 \9 f1 c6 Q" _
/ f" D9 S B" \% X1 D
* `/ T! p8 j/ P' o" R& k
! r" v; E6 e+ I3 E9 b7 j8 Z 9 h! O) Z& h. D9 b j
1 }! b7 X: J- b
, x' c3 I: G W: N  6 V2 `5 v' s1 ?
( o9 w# N- h. ~0 _6 E" Y' g
! I, l# G6 T" @ A$ l; E) h 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
5 G8 X& D1 [) u/ ]$ {0 q$ X5 Q0 b) @ % _' H$ e: z& m2 ~7 R' E4 O$ \
5 b+ V% {# e( B
 5 x5 J+ q1 k% f- n0 u" H
& m C% k7 l1 Z+ |! J7 m8 I' @* {5 O9 m& F; c; I8 R
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ; {1 d& x" g4 \) Z
& \5 }. u$ N! M! i: `2 I' F: M
) u5 H. b! t* k& ~. ?6 f X9 k 
- g5 C: B6 j! n+ F# W4 q * I5 I$ r5 W" [
* q, F7 |. n; R / c; H4 ^. O `3 D( r& Z6 d; F: q$ i
- _6 I$ f* W7 Z1 o0 t/ X( p7 K; Y/ q
7 b$ x* L7 Q6 l
0 H$ l5 j6 c1 V& R+ l& E$ ~# u9 M3 E
3 k8 {! N/ B$ u 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
0 R, D! E: |( R. H- @9 X# o
& G5 k$ r7 ?+ q( [! c5 X b: k2 x8 q; H& z2 v' v; J7 @" X
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
5 q7 F/ T1 }/ V! y m* `
9 a+ s' ?3 Z* y, V/ z( J9 m' {# E3 M- J/ X( K' Z' w; K
 6 y! a4 D; G# V+ k S% |. H) m
/ X# H% N; | F/ ]& ^- P& R
' P) e" y3 V& p7 U" ] 然后发送到intruder,
' r2 y: H- j0 p4 L; ~9 i4 ` / y+ j2 l5 ?% W1 U8 `% ]
2 h& W! \8 _) a/ S1 X 
) S& x6 R3 R6 `$ L
* e% h; ^" u. _' Y5 o' r& [" @+ M$ m6 |+ l' ~* B
Clears(清除变量)重新设置变量
0 i. s! p: q4 [2 l9 s/ {* {$ P
9 Q! B! m+ q( B3 v3 w- L; F& r: M5 J
 ; Z6 J. b6 `- D2 L) g
- @& n; F) d p4 {" j5 p$ U- P( L0 T
( E8 o4 E4 Y' u5 P
# H" N q8 Y' V' p# w# M. o
- _$ j5 [! v+ L4 }+ p2 m 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
7 Z9 H. o$ b3 G) ? Y , Y# w$ S) W3 ~' @
j( p4 ?: c l 9 W8 j, `& o! R3 U
, T+ ?! P6 |8 [4 v/ |2 I
* s+ g6 R2 _; Z/ b% W% o' K
7 {, ^% X& {" Z 7 Y$ B: w% I; _6 L9 w2 X
+ n! J8 R( u; {0 H7 H; A
+ v0 s1 x* g* e
; }+ D R8 _3 ]$ C, I/ v d
! Q" \! [9 Y8 ?# F& s h6 i. s6 j) g
) a S( G& A& a 使用正则批量替换,替换%00为2 g8 W: }5 b7 K! `
' I/ l/ `1 c) `* c
+ D/ r- j! k+ a0 P- w% i' `2 j; \  . o9 _$ n5 I& |! d
. w4 \+ x- V( O' k
( j$ d: j3 F, u( ~- S$ q 下面用迅雷开始下载: |" D( H+ F. p7 C
) q1 O: P( B d- s% c6 l, T# U3 x$ l1 h/ u
 9 ?2 j& a4 s4 f6 ^
% c: g0 N+ o- F$ I
1 c7 B* T; x+ @- P" {& X/ i! ? 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:3 \, h) J) r, U6 V6 d
, R3 p+ |- p$ a% @
+ \' _6 i- A1 E, X {2 P. B* @ 
8 @( b! e2 w. Z/ |% ~& f3 i. G+ r
] ~; y! `& y0 g' S- f9 D J7 \0 b: y8 a$ M* i8 F& ]
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:, [4 [% v/ x' d9 u0 F4 F
~0 [( V2 i* [3 u( M" v
5 x+ e* O: Z. r* T" U% o 
8 _# G& _: t% X4 C, ?. t9 Y& i % A# z: P( j2 H) B( Z$ m
+ e) E3 [, k2 i x5 p: B 
, L! ~8 H! a! N8 g/ O/ m' t( d ' c9 }) Q% Z- D8 A0 C6 T( u
& S5 w' M7 V0 f* {4 l6 C6 j7 z- t& o 然后上传图片一句话木马如图$ j( s. ^ ^1 O/ I: {, Z6 d4 e% g0 u
, n+ S) c1 x/ [2 s
# y- B4 V) \( Y$ {& Q  0 a5 t1 ]' A: d+ N; }% c
' y; m7 ~! t5 k4 q. B6 ~* X
, I: _# V, l1 `5 y$ [( i 下面我们来构造一下包含url/ r! \$ v- J# k. n1 [$ r7 d) b
+ f2 q z: S6 m( r/ e
/ b* i& @" v+ A% u http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
( [8 [8 b- D6 F6 o$ r) w1 B8 a$ j ) d5 o, Y( y3 p6 B+ F$ T) Q
. b& \7 P$ F7 D9 a3 E2 A* F' } 下面我们用菜刀连接一下,
/ u( O5 b. J5 f2 M % u A4 b) R* F; I1 U
9 k ]( b x+ r 
. V1 `) Z7 ]: e* Q8 F! H ) j7 c& h7 v R/ k$ A
" g, d; M! M5 [* o; h OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
/ Z( |- w2 X; g1 j3 V# { | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}