|
C. D! s) x4 j. N: P2 r
最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php . u/ I& Z" N/ U: }. Q$ l! j0 g1 [" d
1 v; [) p' L2 q' a( U8 g9 h3 |0 n* [
% g8 k( U5 }' M0 H, h O1 \: N! ?$ ]! o
/ N: @# l* e2 l
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
: H1 }& f1 o6 \ d1 l& L9 r0 I
1 Z; K1 n, o% F$ Z- K) W/ |  4 o; ^# d- F# c1 L4 I) Q; Y
+ }5 T: N! ]5 [: ^
, Z4 `! y$ S4 {3 P7 d# g; T7 |- P! z
没能直接包含成功,试试报错
! a% i. v! x Z7 U" v 4 C, I6 P# w3 C) Y
- L# N5 o8 Y7 L- F0 T
9 n* a# F: v4 X* |) G( C+ H
* S& j# J- Z6 q7 l+ }& O, N f. U- K" N5 f F# M! l
: c. o/ | f7 F- O 0 [* j. ^% C+ O4 O
& X1 p+ W! W l# S 8 l; T3 K" k% H4 C' ^* \
, v+ s9 a3 B9 A, O5 r
0 D& B- W% X8 b
8 t. N# H2 B7 X$ D
* I1 b1 w# P& N. |, f& I# B' x- m6 ^# Y( g& o! E$ r
8 _9 T G6 D3 i& |* U . [) ~4 m6 k5 N0 Y2 V
/ O$ W8 g6 K3 S ' m& R% a: i) y& s
% [; o0 r) q9 S( N! I8 a
2 G. F% w: ^3 ]8 i; n7 T0 L + M' {9 E9 S: @8 }2 _3 {
0 Y/ I. M4 i- }, c# V- @; f4 I. q! T7 ~
 9 L, `. j$ H2 h6 j
+ h4 _$ z& `$ K- X. C* e
, r3 I7 Z- g. X( l2 f i f l/ ? 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了
- q9 N/ l# D% K/ v 9 Z8 {7 {8 t: n% d2 R
+ c2 e; F6 M- B& z: v, f  % J$ B* j O& g9 r
9 D( [ a# S: n ^* ]( }8 E
. \* g) X7 a5 F1 _4 N. L" ]& g& m
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ& H2 P* l6 \2 N& i: P' ]: O7 s
; ]' {! i! u3 |; v8 o! q( d( @7 N! D
0 L+ C/ g6 W+ j/ t% \
+ q7 Z: ~0 O, _% v$ f) B$ q4 j$ U' w
: |1 e; C7 }9 ~( v! d3 U " E( X+ X( _" \% X( _
9 o. V$ L" Y, M2 d
+ Y0 {- l, `8 @6 ]2 F+ B' N
/ _$ |. u5 D2 v- g , m4 A3 F0 j5 P$ p
1 w# r4 R- b4 S/ g6 l
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞
}' o2 I1 Y; i* c$ T : Y ?2 j5 D+ ^7 U2 W6 L5 s% a
' M/ U- M2 G* i v
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
5 b, X* @, P1 C# M
u* L) Y3 W, \3 b7 G
% Z4 D b D5 t) d 
5 }( {. V! p- w- O1 i
$ R! c4 w0 ]5 A% ^2 k! l+ u) g9 Y6 I# h& m; I
然后发送到intruder,! [9 G: l# P8 ~! E& ?# a
9 F* n4 F" {2 y1 z' W$ l0 n7 [$ C- j1 f6 M: H$ v
) y$ ]0 [/ A, Y( p+ j0 S- D 9 f: c2 W" a; @" _7 Z1 B# P7 B; w
0 {/ F7 D% n& T4 ~) E0 D Clears(清除变量)重新设置变量
, Y. ]0 S5 z K" g
/ X( g1 c- X- {) [) ]4 \ P" r' I6 N% w$ V* N
2 s+ a% g" x s
& w7 `# X/ m1 J7 B6 f, X: `& e/ A, r$ m i" k
" }, D6 ]8 R0 [9 Q% \6 T/ m6 E5 E + L, ~( k7 F; I/ |5 q1 L3 X) l
( F8 a0 a3 a2 q1 Z: R3 n# H! N8 j 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
- A2 T3 K2 h" h: n; K$ c6 O* s
; S6 [% W+ J7 L; v1 Z
: g" i. f9 }5 N 6 `" @' u. x& ?- ?: Z
" F5 l" T# ~4 I# ]; T1 U
( I6 d- M T0 D; P- C; Z% o$ c+ @
/ W! i; c( w3 U9 x4 U' d8 } : z; q1 O" B' A0 g( L& ?
0 K3 Y" h3 q& A- ~( N+ F
6 u# Z5 O4 I4 Q # H9 n y- _, T+ k: q# N2 b, P; |
1 \) ^8 L* T' y. u0 W( H! ]' H0 Q2 e0 ^4 r
使用正则批量替换,替换%00为& C0 z5 e9 f+ [3 u
2 ?4 r& y" S# W4 R
8 W3 b2 m+ @+ Z, l4 y$ Q  3 R& J F" u$ G g- t
6 f; o$ k& r; Z( u4 O4 z5 Z D; }+ M' ^. d P
下面用迅雷开始下载
9 R7 x( p. [: v$ x0 J$ W Q9 ?3 j 6 c& O6 r9 @6 V. l$ i5 G
# M9 p8 N0 [* y* H3 Z! P  , m+ I! [& G/ U6 ^+ O- `) H' A
! e8 v9 k* X! c4 |$ _1 u# h- P) o7 i' c/ o. C0 l' p
把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:0 g& ]+ m3 B9 X* w- I
" t; x/ e/ L6 _, A3 J, |; d+ r/ L1 A5 y8 x, L# |7 n& Z( j
 0 G; F2 }& n5 @- ^+ A* U& E
I, ^( s7 m8 K9 o$ Z
: r! ~) V( q& ?1 O5 M" P0 f/ d 读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:$ J3 Q" R9 X; I+ x9 r
5 E1 {+ J! j8 b! L) l
$ g# A" Y; w8 A8 T) N, W
 - X# H+ M L5 j( M/ n
; a. f9 e& g3 `" j# f6 [
, k/ U) [7 b( Z: T
9 ~6 V3 f- _0 Y$ q " A6 t2 W5 I/ L& p
! I/ _4 n# ?9 ^; }, b( x4 M: b 然后上传图片一句话木马如图
! j+ G; b4 f( X( z$ c 9 V! c' D! A+ g" |: { Y
$ V0 R6 i4 e1 a  ' u$ @1 R& {$ r& f; K# G
# W4 [' }7 R3 |: K
7 Q# D# D6 R2 d% o7 h/ |0 M! F# M- F4 f 下面我们来构造一下包含url
% z# ]4 `4 c3 ^ P q
: M9 { e; M: P, ?7 ~9 ]2 Y; c5 }! {' d7 q
http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径)
) [8 L( b9 G; x* z# Y
8 }) ]7 D; a( G$ `, z
- C, O, d v5 u% g 下面我们用菜刀连接一下,
/ Q% ^/ I1 X' j7 s1 C 5 f* D+ A! E8 B* o$ B( m5 f
# \/ N! z8 |% c7 z5 E. o2 q
0 O; h' x( H2 I+ j0 F9 Q ; n/ g, X& i9 r; U- B( w/ O( z
+ K8 W' |* E, x: d9 E) b OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子2 a; H2 a$ h6 K1 B% {: q+ Q
| 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}