|
+ T$ h% u+ W/ S5 ]+ H
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
3 ~# _# l& X* `& m : [$ K& B" g$ g, m2 o z1 g
# Z1 n! r; C* t
 * g; j$ F) ]9 `% b% {0 O
' W: z4 }. c/ q: X8 |! r, Y
' y3 g$ i5 H$ g: C9 B V6 M' a 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
7 _( |: e; Q3 S/ v/ g" O . |: o' Z* z6 k$ O, ]
0 j3 t3 a& W$ R, M( M  4 n3 F2 V% P- @3 F) c# o$ x
1 t1 j5 e; Y5 Q. D; y! [9 o0 o' F* d1 O) L
没能直接包含成功,试试报错
0 k0 Y2 O, i: I5 I; s
8 U! x$ b) f1 f% q
$ R& C! M4 K& ~% `7 P1 Z9 a* ^/ k 7 A% x/ V+ w- p/ l* g' C
l! e$ s U3 ^; B% F( C
: j4 ~6 @- _+ S& A0 j
" ~- e/ D+ \* E2 c% E8 z! m
- U' `+ ?. |% I' U0 y
; H' S8 w3 ^$ X* M' n; K: |! R- @
% f. Q) N J7 y) B
5 G) W3 \# ?6 K+ L
" ^- X4 |& E! J) f# `3 F: R 6 w9 M& A$ `" j/ D2 q! r0 d
' C' Y) j* [8 [7 d7 _3 ~
5 @& r8 M! p3 i8 T3 E1 v6 [* ^
& p( u( I% c5 [7 Z
$ M0 }$ m# N- K( c# z+ ^
4 q% s( @4 D, g
9 @7 e* I/ j* M) m ! M/ ]4 k; y, L6 B6 a+ t2 t: N' p, ^
8 U4 y. ?. [! ~+ K1 j- O* y
+ a: F; `$ ?& [ H/ w3 S- D 6 G+ |( Y! H: Q1 }, i8 v$ m0 a) H1 \8 s7 q" r
$ v% i" [' L$ J# w/ m1 m  3 u% o( q: P; o+ [
/ o2 s& p6 w: T; n' O: z8 O
4 D* }3 F- ~. Q0 p3 U 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了5 l# X: {1 U# M4 o
* a; y: b- E, I! j# y
% `( S" I& D( s3 j! F" ? 
% h; W* n ]/ X4 r# }/ t
: Q( \- e& n- Y. b" h) _2 l$ t1 ?* s+ ^% u& d! _5 q5 {4 X
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ
0 ^+ b% E/ e" o; _+ U3 Z
9 f$ _. t& \/ K! n# |
) K* Y! G# r" f: d" I  ' \. A) ]" d9 \
V/ h7 D$ d* L; Z
3 W) b8 m4 d; g' t4 v |8 \
" s4 P% @, i; p1 W 1 J8 \1 ~" z, F2 D- @. X
$ _% A2 A1 _7 h& i. o0 m8 B
6 r7 H. C/ z! N7 z% U4 }: h
6 C& I- b4 }5 E" o2 ^ ?
5 B) ]; o& o* m" o5 j4 F3 s 没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
. u$ J2 i4 U) b- }- I1 j5 u 1 Q9 v# a7 ?# f# f( q) Q
6 y7 i/ ^5 M/ U 我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite o) j8 z5 m+ e# c/ d1 E
% N, k8 k0 R* g0 o- e6 D& E
2 P o; f; t M6 c5 ]9 m$ k  ! y$ n3 T2 l N4 S1 }& j
# e- l1 c( m. s% I/ U) W$ f( b! f- t
' n& z/ `# P% f3 h0 a; x) o0 P% F& N 然后发送到intruder,
0 q0 x0 [! q8 {+ M5 @' g
B# L! ~( J: F. K9 u7 |7 ~9 S# K
/ S* n/ E) _0 @4 A& |$ }& ^  * B( }) E% Q' `3 Q8 j+ o4 Q$ u% Z
" p% y+ K, R ~9 `" W: }
4 H) l4 i$ f! a3 O) X Clears(清除变量)重新设置变量9 K- y, p; i( H5 Q8 F4 w/ ?. E
: {% ^0 v! Z7 u* |: C S) y3 R v) C
 % `& g9 r* w* z% G9 x6 g1 w- U9 M
& k" K$ }5 Y1 |0 `1 Z; F
; m! s1 o. Z; }# A7 Z7 n3 | 
* V- L/ y+ ~+ `. _: U/ }4 V
" @ @0 A- Q7 M( @, D9 G( l( Z
+ I2 ^9 a, A7 _8 r% |9 h4 `# V 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
( f$ C5 u/ v H- Q/ L " K* |. S4 T; h2 N, h6 v; I+ T
+ t: z+ X% S8 Z) k6 q$ M3 Y7 w5 D
1 f$ L9 C, O \# `/ X
: G: y. a5 R. U6 z
7 N9 ]3 G$ w4 P
3 R1 }$ S4 }! d# ~, t
1 x) p& X- p5 B9 N3 r5 d7 ?; }- w' A9 k
* Y1 W) x5 H# Z' k8 @ , s _) c% m" [ X
7 R- H* L0 g- {8 m, M( {
8 Z# y' \4 p$ x% q" D4 `
使用正则批量替换,替换%00为, A5 _4 k7 S1 z. r/ L
' y# ~* {/ @1 J. X
7 I* ?& s( V% }  / P+ p0 [' L: o( J* H8 @
. i% E, F/ w. }. r$ J% X" X A: `6 V# e8 Y! O. e% J
下面用迅雷开始下载! |+ E$ ]% m) G. o
2 n$ h, L+ {+ j% e/ B( R
) }8 d( y8 W2 s) w \  . s! k1 `: j/ D/ s9 Z- C
5 |. e$ y' h7 V6 y. @
! `5 E. [2 v- Z- V' R4 b0 @: P
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
* ?& U0 _7 f, `; T 4 B [3 g+ {4 d5 N/ C% T T
q% R$ ^9 ~ _" H8 f# s( M  5 ?4 p; z/ [& ^# I6 c7 {
! i$ B& R+ u3 \; W# q: `
$ G) E/ M5 ^% I. w, j 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:, A" O+ \+ W( O2 @+ i# b1 E2 r
; a& V& o+ f* Y6 F4 L
P0 K4 l$ d b' k* h" x6 _ 
8 t* Q; Y; H4 S" n) J; |# h
0 }2 W) n2 r% }' v+ a& _3 a
) X2 Z! r& J1 r1 a" S  : F: |4 H4 I/ u- j' b
) ~, Y# G* V; q$ q
" f8 `( R. G% `9 u
然后上传图片一句话木马如图8 x' `+ B* K( _( N/ e: X( n; r9 l
" \* |: x0 ^% X
! {' j2 ], w2 f. x5 t( X5 H 
! u3 e0 L4 I1 B0 q & X+ T) V e9 Q7 U1 U1 U
( ^8 }( c. c: U5 a5 {
下面我们来构造一下包含url) K0 j6 Q# p" U0 F1 p4 U. f
5 U0 \1 c; ^2 Y) p
3 L! l3 I3 I3 s K. n4 {5 t& _
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) - L; G; @: y* c
4 B* y0 T3 o8 _/ |/ D# _! s1 w! Q$ _# N4 @/ N* |
下面我们用菜刀连接一下,& X- X5 ?- A# q2 K
; E- i: w! I3 _$ c$ k* g. o8 |! N, z( r7 L" o- M' }; O
/ k& E+ \* G( G* O/ M$ x
$ v7 h2 k/ _4 q5 R+ N$ A
7 U2 H6 L$ s" T- [2 Q. L( C8 O9 G OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
5 P. r7 ~* U( p* b2 j+ x | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}