|
m2 P! J" Q+ ~- L L) J& z 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
, G" T) U- q, |9 l# E2 ~7 x# ~$ n 9 K/ ?) u! `/ o1 n7 a4 J
) L6 ?0 T/ W. _# ~
8 @( M( F0 ]) b/ `1 T; x3 Y 8 [6 e o$ `" r" `- u& ]" X; T
$ J, ~) P! o4 R# p* I H2 E
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞0 [' t c1 v5 s
/ w* \' L! V; V- x q. o/ j
' H2 E9 O! q7 J3 z$ Y/ [- A" K
 2 ^$ H2 X) J6 o2 c
2 E, e# I8 ]; Y8 H; c3 z4 C3 P( G* i& F0 l# X7 m/ p! H+ ~
没能直接包含成功,试试报错
3 O( @9 A$ |+ d* D) M: j5 l2 p; t $ M- Y8 s* }5 W3 P% I
& U* E B* r; u9 L3 x, K B( A
+ h! [4 r" S1 f/ ~
# Z' h3 {( e, t2 p" E/ l
* R% Z5 e G( H: n : O5 ? ~+ \) w1 R' j
" v/ e8 T8 i( R j! {/ W& T
6 M3 m4 B) `+ r/ p# |5 Y0 z
3 Q; m' A4 V9 q* S5 k6 \ : A$ E2 }8 { o' D2 q' F4 \
2 Y$ w' ?+ f3 V8 K" t7 \
6 }- b1 C2 x1 D9 s/ ~" C
* z, w# u# ^! p& J1 |( _( x
) K# H+ f) g+ e Z" h' A6 i& x7 l* r" M
8 f7 D% }: I0 g- U1 ` e- `% G
) x b a4 V. @5 q5 Z, v! c; H' t
" p# R) B6 K e2 m+ r- h 3 p2 H$ [* G6 }; w# S$ P! Q
+ Y9 `0 ^+ p9 C" u
5 c+ a+ Z# h& } W 6 j: Y: } j' J
, M/ f3 r7 O9 s2 p6 B+ L: z0 f1 T/ X1 m$ `: j
( h; F( d: m+ j4 g
9 Z7 D% ~: V/ y) c, f
! S g+ O1 {, h$ y 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了6 K4 _+ v! O: |/ P g
! h; N `) _6 @6 f( K
' a4 W3 ]0 z" I) `4 T. u 
+ @8 r8 l5 G/ x7 L " C4 q8 J4 Z# q) s/ Z+ Q m
0 _9 e# b0 R' U' @4 f1 j
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
8 o* y) |; z, ?+ L, D U4 F
- H0 d- d( M$ A" Q5 b# i( f: O+ t7 q) H
6 K4 p) `) Q7 K# Q& R" | t5 R
3 @5 i/ {% Y7 _) {0 C h$ w+ y5 C7 a& |
9 v! J- S' k, f4 x& ?! B6 H
/ f6 E* D; c9 H1 X$ k0 p: t
; q( z) F( `0 M k& ~' L
# \5 t2 n! a7 R1 C2 n9 a# y
8 I( E" D+ {( k) Q2 W- c5 x+ O
+ U6 e9 h8 |6 L% x7 N9 F 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
5 [ o: Z. ~+ S
3 J7 z" [. x# o
+ O! e* Q( i* F, ]6 t 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
0 E8 ~% O8 H! F7 I" Y- p" E: M
6 M0 i; U b/ H: ]) l8 ^* F- D5 n
" f9 e5 f& i# W( N 
! L7 t$ l( m9 z0 W , \0 v! U- n& H5 l- a
( P+ ^9 e. P3 V5 {! u6 A' U 然后发送到intruder,
, }9 G ^+ b; t+ [9 m2 D9 p' z6 G - s% j: o; G4 b! r3 s4 }. C
; O2 j9 J3 g: p2 m4 W& G9 F" A
 / ?7 i) V/ t A+ O, N0 u5 f( v
- G5 D, k [7 F2 b1 a
7 I5 |' n. D c' I+ i% g! I/ a R Clears(清除变量)重新设置变量9 s2 Q6 Y) w6 C& \
2 Z# c& F- q: R w
. C* [: ~1 ~8 h7 V( R& T  + f5 r! \& \/ O- H& B; D1 j- h
3 c3 Z0 C6 W. p) h$ L' Z9 s5 y- R4 p
 / f3 Q3 g6 B1 \* r7 F
' U& t& a9 \6 [' y
: _8 X3 }, g6 ]; _# Y; \ 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
/ R. a! o1 y& I& u# r& B% F5 f, D
# X7 I! r$ r" ?
3 V8 v9 W! s6 }- k1 d; `8 h
; T* q. k* `& ?- t3 B# ?& q" n : _3 V. d% z3 F6 G
+ m1 p( i3 y, }, U5 X% J
1 L& i R" X! ?5 q0 S; ~
9 F. \) E5 W: j; j( E+ j9 a8 g- E! R' o* i
/ x# C: h/ G% z& p7 H: v+ O
, `9 H1 h. V5 T# I2 Z" e. s, H% y 3 x; t9 z9 b5 O5 y
& Y0 w# |# R, |
使用正则批量替换,替换%00为1 \4 {, X. A( e+ O* k
8 E( M: m0 Q! X$ {
5 P: Z9 L; Y. c. ?. k6 Z* B: z  ' c$ \! {+ f! t* F, w
! Q \( V9 M* H& U- N% O" ?8 J
& v% j) w2 b' w6 h 下面用迅雷开始下载
9 l1 r) R4 d" z" D& r * K+ S0 b; v* o3 G
5 W+ ~" M; n% X w3 C' j  4 W: V! J( x Y3 v; b! v
; t; \4 y0 [8 p2 n' Y; c
0 B0 i3 P4 ~3 g
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
6 ]" k$ Z: Z4 d. y( L% d + y% D. S+ c- T" g+ N( G
$ E- Z3 l3 R# `. r/ M
 . a) i9 s# j2 C B0 N- p- M8 _: c( q
}/ U4 `3 a9 c: u5 g
- J$ ^: T) t1 v' y9 ] k/ M 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:+ s# e# D- T6 p1 E3 r" B6 Q
, K4 D# F/ v, `+ e! j9 t. S7 A' n
$ P$ n" v: J) |; p
 - y& O$ I+ q/ _* r* ^, k' Q
. U1 l3 A0 G3 C. S" V/ `1 a4 q+ H) F
4 }$ l% G* T" a3 e6 B
 7 z8 g/ F# C$ @" f, i7 Y* |
$ _2 a* q8 K$ Q; z
! P0 H, A& {/ b, f9 t! `" L
然后上传图片一句话木马如图/ D0 w. f" ^" w1 H4 _. k
& T. |" s' M3 `" L* Q i: h2 p
$ K! W0 G$ j) v' \5 q% M3 W4 ~3 J
 ; C: ?: M0 J' m& |+ A5 U
2 r$ c1 R [7 D+ K4 v
9 A4 C+ L2 y. k% S8 n7 D 下面我们来构造一下包含url* l* G" A0 x3 \: K9 V F
7 W4 h% z2 e p1 F% C5 q7 s
) d+ [) H( E* Z; g
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) . T) W+ B8 G S! x% x6 h
( g* v/ J. O; j, G; M8 r" Z3 Z7 }1 B* a
下面我们用菜刀连接一下,1 e: p% I& L3 J }
4 Y0 T; p& ]( ^6 |# w
' Q8 x2 \$ q' o6 Q! l' C 
1 X! z" {- Z3 _& Z3 @$ g
& e! p3 X4 e& s, X; h
; l1 {3 Y) z w! q OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
0 S* k2 Y9 }2 g) z | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}