|
( W' r% U% a2 V& d5 n1 o- q5 o
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php
( T J) l# a. B w0 l 4 c5 f! ], V; ]& O
4 ]$ @! V$ R& w1 M4 A( d- r* R 
) H2 @7 w7 v( Y1 }4 u4 @ ' U8 M! C N. t9 Q* ]9 k- E# @
( K4 P4 A0 K4 k/ P G 幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞( `! U" M) i: z5 j# h
* c6 D7 e" c- d+ A, ]& K( g
: U7 |$ M9 |, A" r: U 
( w# u5 Z h c9 g+ x; r
# `% ]& @; f7 m2 s, _7 m# M, g
. O; l" [* [# `* \# {+ j 没能直接包含成功,试试报错
- G. v9 U% T9 l4 W7 n , P# x7 H# J8 z+ i) p
/ \9 e5 d- R$ q- T4 C
# v( T5 z( ]; d' e7 Z& |* T: ~
$ ~& y$ ` L9 @+ h
9 A5 G' U- t* x" g0 F1 w
N( [$ L8 X1 o
* p6 m" r0 [4 f/ Q0 X; z$ a+ r
* c( I) ~( s" T+ t3 g
& e6 i4 B1 }! \3 `& _ 2 j, A; }, s) v& Z; x: B
E% ~& W/ C3 P& `" d5 n4 M/ i
! Q# K( r8 M* B0 S7 u' a
. Z' t3 D/ P! _3 X& s. Q# A6 e
' g; A, g+ u# ` ~ ( _4 i0 y) S* i2 j( [1 ?
( L& f$ [4 K- W# H; m! x' N, E# n3 q: S% o
* T* Q( W, Q8 f0 {# `
/ t/ l$ f( r) c3 m* E: q' U
# x& u w: k0 \" Q' K; Y5 j
. \6 c9 {4 E# N9 t 5 k; b; E7 C- J5 V
# G- |) } r+ P: | A
 : B) [# c& D5 Q
t6 Z( ]' }( N$ {7 h$ K2 g ~/ P' J3 q& }" f+ G( M0 C m
哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
+ f% p: \$ b1 Z4 I
! ]( u/ g1 P# m# d2 ~! u1 u* I0 ?* `7 _2 \$ Q) \4 n4 a
& q# ^0 x' N4 D5 C/ {) w ' b% ?7 z# ` y$ e e" W
* x* |- B. `" \
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ- Z7 M6 y0 k j; W
, Q9 h% R3 p6 M- ?2 y
: _' F- v4 a* V8 i1 d  4 s. C6 N6 T6 [; e! P" r9 e4 g
& ?. f1 G. g6 }0 Q
, N: Y: p: j7 p! j" e* y' a. i, h
* |) j/ s e. m6 i8 \2 U: D
& P1 [8 P9 ?+ s }6 N
/ [9 j1 _. G; W5 I+ U
1 e4 s! ~% l0 S# D) \: a5 I 7 N* l% `' A4 Q( `1 _* @8 Y2 l
( S( d7 q( s% r) ^
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞/ \9 W: d- C9 v
$ ^, x& Z* n+ E$ h! e! q. I) @7 K% {9 @" k8 O! C* L
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
3 J: h% N5 f7 @1 Q; t ) [/ l8 d1 j+ v* H. m$ h" }
- p. Q) }1 c7 V* k& E
 - T+ S. G$ z- j, J! D# U- I: V
" w r8 C. q. _- V" S& I/ P/ ` ^
3 H' K# a' e* Z& U" N P, b, A 然后发送到intruder,
& G3 b1 {% A3 t; s* a5 S8 v
% S& @7 r: j) L2 G
7 ^6 }: ?/ V7 d5 W2 ~ 
( c$ r. e' F, M; @
! G9 L8 }2 L1 b0 I, j2 ^
. Q5 N* K- ~9 W0 u8 b- m d4 |. M: G Clears(清除变量)重新设置变量6 V' L7 a: n$ a# g5 x9 Z" @
9 b; x/ S$ a% h7 j# V% w
, y1 f( v8 x8 {5 E3 o4 ~5 t) { 
+ b0 G$ w% D; K/ K# u- X+ s # M& L- }: T6 G, ?' f( A5 F6 l
" C" s) E, D3 `% @, z3 _; |  ; u( m' f, }* ^6 v4 E. s
$ T7 Q' z4 K( n* |" T/ P" L% P* A4 p$ R, Z+ j
破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,7 A/ K3 x2 X: u+ S4 W2 ?! M
2 J0 L' K$ R; e. b( Q8 B. |
# R, q9 y( Z9 }
& j' m8 h w- O0 ~
5 x/ t* E! r! U# B
8 Z- g' L+ s" {. ]) _" P7 D3 @ 3 ^. o0 e! O9 w7 F+ d r
+ g, j c% [ U5 A* ^; X3 y' y
' y9 M9 }* L V2 a
: O" f4 F6 |) N( q7 X6 U: G
3 q6 Z; S6 l% k( t' B! d! O 4 o7 E* Z' O% o
: a9 W6 `( N# k4 B- s
使用正则批量替换,替换%00为
) n) W. O: r2 ?- F2 r* e
/ L- A1 }0 h; |& ^5 l }# Q( w/ ]3 \ I5 X" t( N
 ; f3 o8 |4 ^4 W' g8 T5 \
) t6 L; t* P8 U! h
0 J+ h9 [7 z5 x% }- G" R$ ]0 W; `
下面用迅雷开始下载
+ q2 q- u: x, U D/ y, m, ~- h
: {" P) i% G4 p/ N# Q7 _/ b* H! A: P: s( R3 ]4 U
( N9 O* [ B8 X4 I* Z9 ~+ F- `" X) j |9 @+ F9 j" \9 P" M
$ h' b: y: {! i% t3 L5 w' e) T 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:" X* e0 |9 v |) B: u" n% B
4 ^1 u" Z' h& o( _* z* r7 z) i& N. ]% B l! T9 |
' Z! _# w0 y0 F8 ~* c3 W2 N H 2 O0 N6 C; D1 b6 x
3 ]" O" E' u5 p4 b) I
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:# I0 O u$ y4 W. @3 G
$ ?- f$ [" N& P2 e/ Q
- |* O! t. ? B) A5 {  2 P7 T. j ? a3 J# `% F- [5 M+ C
$ Z; [' J$ g6 V! g. N3 _; `/ V
3 `* ~7 D5 W" D: ]: b+ P9 Q  3 H6 ^) o! d. q2 R
- e3 o3 c; G! [3 t/ R8 R8 x
! W! {& N+ ?5 Y6 M* B- ` 然后上传图片一句话木马如图
* b$ u1 ]# }+ W* W3 g: x K5 f7 x W7 y3 j- g
0 E9 k$ `5 c2 y' Q6 m% ~: [ 
- a; G, T2 \/ X$ G! ]& M6 U& @
4 T. T6 _/ A+ v) `+ R
$ L) q# v* `/ Y9 i 下面我们来构造一下包含url C9 O5 t9 C' q7 e5 i
, c- i6 m! L0 G. P+ o9 u" V! @
& i; N6 G: b! z, K5 E+ v% ?1 R* L+ S
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) 5 r k K. F/ f5 P/ z
! f- B, [' a @$ m. `- A$ g& l
$ N' `( ]6 X( U- E' o0 n; U; G 下面我们用菜刀连接一下,
! m! C( J6 |# W) @( i: w% {
7 _8 }6 W3 F8 K, j% R' Z% q9 }: u* `3 @' A
 ' t' [$ `$ @. s4 X7 a
, P1 l' u# O; R" v9 |" p
9 |- l* w( ]" {
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
: X9 K, E+ T: C% f | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}