|
: N5 b9 I8 z3 k 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php & U4 b+ c' D4 n9 a2 y5 K0 V
) X+ E+ w% B( n; k& W% }# i
. t. K; e. P5 q+ M% |$ @1 c. I) k1 H( U
3 E2 p7 W6 I% f' o3 \" Q
4 H# V2 ]. {: j9 d- v/ _( l9 Y. Z. E. A5 |% I. F1 }% U& K7 l
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞2 z4 j$ M' g$ y# t# H8 h
6 S. G; \- M7 W/ I' b* _; Z4 H0 ?) K8 V1 _/ W4 U
* @9 b/ t: b1 I' ^. W" f; \. M) C
" z7 O7 |2 j" y
6 A) e: { j) g+ @4 V) e" \ 没能直接包含成功,试试报错, u0 [0 ?, J, ]3 _
# P5 F( \, L. k. U! J9 G* }% `4 Y" C( A$ L- ^- F
8 g8 j9 j8 Y# D7 T+ R" N" b
4 u* w3 m, c5 I$ \; D2 d& c- S% B
% V- d( @7 h' N$ t5 ^
4 M t, r; M/ ]' B , J4 a6 ]" a- v- ]7 }2 U( q% q
& a2 l. M- h6 ?, \6 a7 t6 \
0 G( y3 x/ z; h9 Z6 W6 R 2 Z$ J6 t7 F/ W0 e6 w* k/ n8 K
' _3 T$ \* l4 r; r9 J / P7 e' b9 ?2 i, S$ r5 Z
9 ~0 v$ _' n& t* e B
$ m3 ] Y- @0 h 2 x! f" L4 \: p6 Y( o
; \) m2 [) \( R' Q+ h( g
, C v8 r: S* l" j. k 9 j0 t8 K9 K% Q4 c# e3 y
/ V* o$ O0 M0 [. k
9 C$ j6 u1 H* n% o# Y2 G 5 ?6 j$ p) F. l2 j2 G
$ L- v4 D% o1 e
( X1 T# a* y4 w
& P4 _0 G1 d1 o7 g' M. O
; P3 I5 H3 b$ i. f0 B0 h# _5 M9 H
; l# G( Y6 N! J# x# N0 Q 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了2 K4 ~' v$ C: T, p/ @* e3 g
$ P* S8 S" @- Q- J3 S! H m! O
9 ~; O9 @: W0 u- l
; S% c4 E& N+ [" J; b. `' r2 w
3 T+ x W6 S8 U. z& J5 A/ c: D/ @/ p, k
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ# w; p9 ]: V8 E; |
, r& [1 \+ R% h: @1 V: K
7 W! Q' {3 U% I
% `3 O- r/ e/ l# f1 ?
1 Q- F/ E& ~8 `, b7 N. Z+ i& B
- h! t/ e& v8 N
7 E" W* Y# E! v( u* L, j, `8 V" f
6 T6 ^7 h9 s7 n8 F( |, D2 n' n9 R. U- a6 F1 O# q( T
3 j' c; Q2 Q- C; G* B0 W
6 l, N7 B' `$ U9 N9 r1 O" a
" O1 K3 Y" I6 V* y# S
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞5 `9 F+ y" u- j: r7 j9 o
/ Y6 f' q. j; |
: Z5 X& D. M% g3 f 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
1 k, D$ l) d$ A" D( T) Z& y$ p
2 D: z T" [+ b$ G% p, \
. T1 k; F; ]8 _7 U1 x : Y' I& P, y2 J. \1 {+ w
! v% ?; d9 e" l: D1 O& W
) E. R" Y% _3 j1 P" _
然后发送到intruder,
& K4 z: a4 m* G+ U( V2 I8 I- |
- J) z$ }8 {# _3 _, D$ M0 S8 r6 L4 a- V" S6 ?/ p o
7 f) L4 Y A0 T- n/ Z$ H
4 h/ x2 B: l) D, w) q( {$ z. U5 j) b8 p7 \% R1 v
Clears(清除变量)重新设置变量
3 o' l# x7 Q/ F- q3 {
& x: W' z; m- B3 Y" l# K, k: n) U5 I6 L; {; j
* Q# G2 `- v( j* P/ B
S5 c9 e; b6 s* F& n
& k. q4 \2 j5 y3 e( F ) t$ C p5 w: c% F
! J: Z o" r9 J0 k* A3 y
1 s& Q h4 t) q
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,6 l1 L/ \. w9 m5 |
( J% V2 f1 c- u+ { n
3 s; b: n# i# Q
" U2 X- H; }( R : \ V/ M) W5 f
* n1 `; |8 `3 J. Z- h3 m* D " i; y" k e: g8 T7 v- ]
6 i* q1 o+ E, a0 x( a$ M6 Z) t4 K3 \( W) _2 i
9 E9 J" K7 x/ }5 z$ W, R8 n9 C
8 Y/ I) w5 I; F3 ]# z0 j# z5 _
' N) ?$ V! G8 p- k- t* t7 J
7 j' _( `( P( H$ r9 }" i+ f$ f 使用正则批量替换,替换%00为
9 l5 G% B1 L% X1 e - C3 o4 x6 e3 f4 d- `- @
! [/ s( u2 n6 z0 m4 [+ t! k& M
1 @, E/ t1 A; P) F3 _ e ' d. w7 H7 _# L6 P! W9 ^
r) P$ B2 `# E2 T
下面用迅雷开始下载, I' W; `* V5 A+ H; X0 j" |
! J! P/ B) {' {! v3 a: R$ ~" P& e3 C4 l4 O" H6 f, a6 q
5 p$ w+ R0 h6 \' C( a4 K c/ u
# g+ B$ T. D$ ^- X
`% J6 z, Y" r5 n& N( | t 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
0 C1 w$ X% U" i6 o( {) d- T
! N: x8 k5 T+ h2 O5 O) H# n; h! I8 y/ M0 t( {9 z, s
. k" S2 C& V( t, L1 w8 `7 C$ e
' R' i7 Q5 b7 Y6 X. b
$ f. [ H. w' }2 N" E
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
; K( D2 u% X6 ~ # D2 W0 J- N1 l, L' j
3 R1 x) w' s/ W; U2 `. Y5 \/ |
1 k) T/ j6 t& `* t
+ Y; P1 }! I3 C1 t2 u. P$ K4 D0 f0 Q
. o# Z3 z @5 X6 }
; p, l) D+ q0 H9 I8 ^" Z
0 z! s7 C& t ]9 _3 g 然后上传图片一句话木马如图2 n+ [3 v/ ?' o4 s
+ l1 B; _9 \& H6 N, M/ @ W* b7 Y0 U8 H! k
' ]1 @4 N$ c" G5 |8 `
+ {0 B, O+ ~3 B% A/ y
. @; ^ X: I1 c" Y Z/ @8 v
下面我们来构造一下包含url
0 Z! Y* p. j8 r8 B% `1 J
% \6 i# w+ o% S
. |( {0 f# N q. P/ T& b- ?' d3 b http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
3 l$ J6 S6 B: o. m
% @% ~' K: C3 A" ^
0 A+ u8 K, T' `% E. E 下面我们用菜刀连接一下,
4 j1 ?0 [4 t4 x0 }! O, A" h( ?) z$ c
. ~5 j, c- ?1 H) Y' S/ {$ c7 S: G( b6 d
0 H* d9 h/ `. p4 j* `
) L; ~1 s7 X8 Q& V
# ^3 v4 h" r/ u$ J OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
7 X7 v( z5 G) p |