|
: c) p8 B" { b 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php 9 D" A" G" O& T* k: C0 R
% t) x6 W0 G T0 q; q! s- K% P# `
/ l4 }0 ~3 [' L- C3 U( _+ ]  1 |9 X$ s& h- z: V* d
/ J/ w, R3 [, w) k2 [- ^
9 [% J; i( g' w7 o- O( M: [ 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
/ x7 C9 C5 y' B7 I) n# U! z; y# N8 c6 y
4 `/ ~. F9 a0 y% Q4 r( W0 r4 `6 M h+ A, ]* `
G- b S# h1 ]3 R4 J. Y ; Y* o& {& t; T! g: k9 i2 n8 z
7 I# N, v4 S7 Z0 g( B 没能直接包含成功,试试报错
9 a9 V$ E) {$ @- l* b1 {' \5 V
7 F0 B" x7 Y/ i. R7 F6 X: }1 e
6 I' ^# w/ Z# r$ \# M- B0 X0 P : a3 s7 `7 Y6 O! P) P* g
$ b1 S, m' s) C
; P" G. Q" r6 W, T4 j4 X6 N" d" k
; `& U. o# |! C / s# n) g2 g W/ B: F' p
/ ?" j9 r# M( H7 ^+ ]* [
/ L) }& `# \; k3 \! x! k
$ i! U8 V5 ?0 J" D5 |2 i+ q! J4 o9 M/ z- ~3 _) b
: E7 R2 g4 {/ e: O
) J3 X9 |2 h% |) ?! @( N
/ M2 |# I1 \) K$ F
' M% U# d; n# K) U# n) p 8 B0 Q) l3 e4 X. I/ s; Z2 S
8 A9 V/ }& n; y+ ?
) Q9 Y5 q; h* [( G# D: _! G
3 z$ k- y2 b4 u7 t. K# {9 ~- Z
) p( w5 v7 u) F# q, x" j; ]
6 o8 N& `* E& n- w: a( f% M3 W
% d+ ~+ k& i6 Y. f" Y
/ M( G9 f6 x4 O# ]  5 l G( W' Q3 Q3 f- ~
) y* k( y8 l& I% u, _0 J
0 o4 t" B6 ?. K" A3 c
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
7 U" [8 ^$ c C" ?2 O) b7 R & ~6 ?/ R4 P! x5 O% S9 X8 e- z
* i# q: N3 e0 n. ?
4 m6 T6 U5 Q/ }; x6 y& }( `0 ]% Y
' x* I/ W8 X. i# [8 j1 ~ N
* G. V( S$ T. }7 N h' ?9 M& S 哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ9 d* O0 s+ k# b9 s
2 b% N, a L* d$ r# W3 K$ j* _: A' E9 }/ v4 [1 y5 j
% e# \2 A! J! Y3 v " W7 h- k" e7 C& r7 d9 D
: e& @. v }( T9 z7 [1 l# R2 U , ?; u+ F) m, J+ T( M% ]
' {( W9 Y. T P1 X' x% m5 p8 S$ Z5 p0 ~' h
7 S- g8 g2 \. M6 m; p5 H
0 \0 @" n1 `/ f A9 [+ G, S8 O# {+ v& {0 o; f
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞+ F" a' \6 P9 | M9 I
; q) t2 \( d; `# U$ Y% L
& ]$ ^7 c$ s1 s! o 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
6 i" x- u. h8 W) p% ?* h' A H2 J" ]4 o6 d" t% A
' s; L2 G: Y4 Y
 # O! I/ j- b# W5 _
( w }, F, Y) G1 v( n
1 O( s6 X8 t0 R) U5 ^: i
然后发送到intruder,
; E, c; q# |0 B" t5 f% ~4 I
* { d. a6 w3 Y: M
' y; V: K1 x4 r5 s' E' ~7 n/ v 
+ S5 B3 E# W/ e) j" |4 E
: G7 ~: Z" N' N/ c# X
$ V% U7 O+ O$ M; U% @" u- ?; {8 \$ f7 ` Clears(清除变量)重新设置变量
+ v( M. o/ n9 e, N. `5 Q, l
+ a2 U, g" @: E2 f
+ d& }5 m3 s; v1 F* ]+ W 
1 a3 O5 z* E- W5 U/ X
$ h* |9 g5 w3 p' x4 r4 D% {' P! w: ~; k# l6 r4 ]! P
 4 e8 V' |: X" Q
' C; T. c: a1 s9 ]/ M U+ H" q/ R
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,- N3 R% a. H$ t4 _& P
c1 z# S' a' s0 ?# a0 g% c* p
* s/ `9 p+ N- Y7 s. w { 4 Q( E& O6 b- A" Z% o4 P, D5 X9 `3 O
$ L$ v/ B& L' v; ^+ ?. w. P9 |- t/ x2 a1 h- B( y
$ J* p0 j" A1 H* d# D( E( Y. d$ _
1 V2 f1 k) i% B) q, i% C
4 K8 N/ F: ^0 e+ D/ _4 r$ E
, d! v% A; _: A# r6 f
" R" V v4 e( p0 U ' q6 Z; E8 E. Q2 E8 }; C* @
8 i ?4 B- h6 P7 U5 G; U 使用正则批量替换,替换%00为* H: G2 R; p, g1 z. z4 q# [# r
' i, D! D. R) A6 Z0 N8 R* P+ q P* h; [; z6 W/ J
5 e- U" J! r$ F) m5 ?, C # x' ]5 n* A9 H. c" u
. K' U a3 |( Y/ s
下面用迅雷开始下载/ o4 R9 V, O* U+ X0 Q4 F
" t: R# V* E% Q& P8 k# H, S
, A# }* ~% v6 x/ u$ |  * J% N: I- Q) _+ x
$ c0 t0 J, y. b+ r- K: U* _8 Q) {, g* t& y/ `5 ?0 Z
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
. Y" T; g) m; g& {, c9 k
* f& O f- J# f( l3 P9 s" D1 ?+ g% @
g3 L |7 {$ Y 
$ J. C9 Y) @" G3 H+ S1 z: y
, D2 |" i" n% K6 q
5 P) a1 U+ _7 c% Q6 N; p 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:# [) n0 y( p1 b# O2 `( {
+ q" Z. Y1 j x
/ R9 C- [% ^; I. D+ G  8 k3 x! g3 a/ `. O0 C) E6 Z! q
$ A1 A* Z8 L' D" O
- i1 t x3 \) B# P
 * r1 a X1 @: C' L7 G& R
2 A' y `7 P- h: i
& a; o+ y4 x8 d2 K
然后上传图片一句话木马如图
8 O2 f" |, x* Q: B 9 j2 M2 J5 d/ z6 Z+ ?: V: X
k* O& k6 I$ Z3 v+ ^5 w# ]% N  7 I) y+ Z( t# m( g' y
' \" W& a- u3 Z- z$ e9 g9 D% K1 [
* K* p9 S$ T$ D( D# Y' K" ?" [
下面我们来构造一下包含url
, r! ]1 t& k. R/ E; z3 Z; a * x+ V3 P% N+ l- e& ]
/ X3 ]- G7 `$ r4 }( n4 N http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
' F/ h0 l# f$ X! f% P+ _& k3 C1 {
7 [4 J* A0 h X S0 z4 z* I( c2 q7 i% u9 T. p
下面我们用菜刀连接一下,6 J% X1 {8 M" F: G
3 V, ~& f8 g- G& D8 q4 ]* K, c0 z2 X: R" ]1 \6 Z7 M
 $ {- L9 B5 j/ c) h; }3 u C8 @
R/ E- @* x- \+ ? F( _
( m' p, z! k4 g OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子# G3 |( O7 s- J5 @% p# |
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}