|
4 p- V( \( {! N( @0 q1 ` 最近在搞国外网站发现一个存在本地包含漏洞的网站目标为:http://caricaturesbylori.com/index.php?page=index.php 0 U! k+ L6 f$ ?. t
8 L1 H0 u- i% S; H, {& Y% B0 k2 Y( G- N; S; t6 e& u! R4 S0 q
, v6 `1 p3 V( y! a1 w% [* b u5 B # p8 z; R4 s: v6 [8 L
2 J5 Z+ V. J i+ W& W( Q
幺嚯!page参数后面直接包含一个网页,那我们是不是可以尝试看看存在不存在包含漏洞
4 P* R3 j1 e. k6 R6 k: w' D ' b; L; @2 ~! c2 |( q
7 _! H W8 a4 t2 S
7 ~4 z" G; h# T3 j! J " o* X1 ?5 V4 G' N" x
7 \% m" `8 U. r0 r 没能直接包含成功,试试报错
+ e2 S2 w0 R, Q - `" A1 f- N L3 Y, W: R2 ]& a$ H
' i A/ f+ v4 g9 ]4 A$ e& G
) o" V. I) y) Q$ u: l
' k0 s# j- T; _. W, G
" \) Q/ X7 \' w# @6 h( C
! t+ M! \8 a. F9 o5 Q # b. i/ [/ h5 J
& \4 _3 H1 b9 i
) v+ {/ J: }1 a4 A
0 X7 t2 }; _3 t" \" W
' @- \# u3 W* q/ H4 f& r0 L & X- h3 t- g- @" D+ B
% g. G$ X9 H4 Z* ?5 p- Z0 C* M7 ^
: `3 D( Z4 t' E! E
; |% E3 X9 ]& G# I$ |
! c% r# o4 c2 P% N5 X& B) }
: d6 B$ r7 q# T# D) `5 C 5 N9 T( o; O' S6 {& u# b$ R. k
% \& ^& s; Z& `0 [5 B% d
+ ^4 Q( n' L8 W, g
6 @( y s3 f9 a4 o 6 ~; C- s) a; _7 ]' W3 @
+ I& {! }0 Y3 U/ b
, z1 a, @/ z( O! e6 }" j * [ f1 |5 H9 [9 {: A0 O
# G' n* ]$ N5 z1 m 哈哈,爆出物理路径,然后接着../../../../etc/passwd,直接包含成功了4 ]( X4 q) H2 o0 w& C3 y8 M. _. N
, x3 ~7 ~2 e$ I" R% T# W0 F
' R; |2 D. ?1 ?9 \  6 g8 E! L% }- }0 T* @
: X4 @1 a: s* }; y* I9 L6 n" k" \
- T2 x- W0 ~9 Y8 G- Z( y+ S
哈哈,看来是真的存在包含漏洞,那么我们包含一下环境变量文件试试,http://caricaturesbylori.com/ind ... ./proc/self/environ# ?( i' j7 F; p! w
) g- I8 C. {3 I
+ P$ X% X$ A6 n; l4 n0 f  ) e- ^ ^) I0 V4 H! p
* U7 S1 R- ]; m/ K. R6 y* J0 Q: t) R |
% t! @- A4 H, A8 D. k6 Q
/ E7 G1 z% F! {8 r/ l* t* ?! y
. r0 S- o8 y: \
6 E. `/ Z% r! l* J1 @& s0 L 9 u* i/ x% t# m! k r
5 `* Z& i3 m! A0 Z) ~0 ?( w
+ l6 P! _' C+ E- W
没有权限,看来包含环境变量写webshell方法是失败了,那我们该怎么办呢,答案是乱搞1 v5 L' [8 Z U% l
% u- p, D' d, P3 _* |$ }$ f& D2 e1 `
我的思路是查询一下旁站网站看看有没有上传,但是经过用旁注查询工具查询,就一个旁站,且无法上传,并且也爆不了物理路径,这时候我就想到用burpsuite来暴力破解一下LFI的字典,看看到底可以包含哪些文件,我们来开启burpsuite
' @" f! Y9 r+ j8 o( ^* Z% w ! S& y/ x8 m- l8 x: l- N6 ?
, ?( h( a. p5 z/ a! d) P 
5 h* Q9 _9 ]) c) V7 N$ ~& L
, m" w) e( k N% G% U& m% Z0 P
& P. e5 Q8 }2 r& N. s: v 然后发送到intruder,, J0 i; ?% q8 D- O. A7 R
( i; H# `7 q6 y) J4 g5 T/ [* p; a9 T, W2 |' S
 5 o. m8 k- X$ R9 J- m( C
/ }3 j- I0 h6 l# ?$ d
# `- Z$ ~ g/ Z5 f: T. y Clears(清除变量)重新设置变量
0 F" h4 x1 |( b: p
2 e, O) U! x" @( g2 F9 y. Z6 B0 T5 U
% T4 p' l: x$ r
: z& I# Q- s7 r9 ?* d* z; F& I; a. M G, F6 G
 " b! m! ^/ b, U. x
& x; L& D% K, c4 d; M: k
8 f7 L+ e' ^ L5 E9 N% W" h! S7 b 破解到这里卡住了,哈哈说明包含到真正的log文件呢,我们终止掉,burp之前我测试在高带宽起码50MB的速度下可以显示出正确的结果,否则的话会导致网站卡,下面我们介绍另一种方法,用迅雷下载的方式来下载log文件并且查看,我们首先来制作一个迅雷要下载的url链接,需要批量处理一下,
& a+ ~7 h$ t5 f ) x3 [. \+ V5 X! S; D
9 ~) ?7 |( U+ P7 e8 W
O; z" ~8 A5 I9 X 5 R0 t/ n8 |# i
, l6 o4 M( z1 P5 a" Y0 O7 @5 F) X& T
) l& s. _' f$ g2 K _
0 m" S9 E# ^4 R) C& j7 X4 Y1 t1 Q& D1 O/ [2 x/ c3 p7 W$ G
0 F: k6 g; T+ H3 d0 V
, ?/ h% M6 s3 z$ |1 I: ^5 u
( F% K( ]; i. U/ _: G0 H
) g9 f. q' h& \ 使用正则批量替换,替换%00为
( ^* @8 Q3 o7 U ' T7 F$ N* ~3 N- w8 x, v
3 |, q- R) E0 k& n' X- ^" U' P 
7 M, l; W7 Y1 Z* H
: x* ~* Y! P7 b Y* w l+ ]5 z/ k8 F Q2 }7 l( v0 r$ U* H
下面用迅雷开始下载
7 C& g+ Q5 u1 k' e: w , D% B- n! W c" h
) L7 n3 U0 c( P: B 
0 s9 b0 W% @0 s4 I% y7 ^ : u3 ?7 m7 n/ K1 [# K5 T$ y
+ g: u4 _9 M4 E/ Z 把下载同样KB的都删除掉,最后剩下几十兆的,我们丢进编辑工具里看看,如图:
3 x1 `1 _ L, _0 n
/ G# l9 ~2 x! J" J2 {7 a6 v4 V$ g1 G0 ?
1 u0 m& r5 ~' s. D2 v ! ?9 C1 Y5 j' P# \& M, W4 Y
2 z( N+ }8 F% k# x; b; q' A' `
读到一个报错log文件,目测像是同服上的网站,正好扫描一下,找一个上传地址如图:
( [- I- d' j2 H* `; [$ W( _' h9 y
6 }" [" i. h% }0 t$ K) m
; Y6 a! V B) q 
) ]" C& Y( B# _* ^/ i $ e$ t. z8 u2 r+ @/ S/ o4 g2 {
: w5 }/ [! m1 M5 u
; V, O. D' y, b0 ?: i& M+ ?0 i a" }: U% t2 q5 T
0 n. i! B, i% Y' ~" @* ? 然后上传图片一句话木马如图
/ j4 h& R' T7 v$ K, D
! p# o: d( R% p3 ]* _" Q/ M3 d7 X, }& U0 N5 `( i( M( j( _, ^: `
 4 F4 a+ V3 Y" V
2 C8 Q6 e' n- r
6 n6 t. Z9 }/ s) _ 下面我们来构造一下包含url; N" m! w6 V" I) L9 S) I* M5 a
# A" h8 c" M! f& l# E$ K$ q
* e9 X$ k2 A5 \7 k http://caricaturesbylori.com/index.php?page=../../../../home/creative/public_html/xml/upfiles/zxh/new_name.jpeg (home/creative/public_html/目录即为log文件里的物理路径) ' U2 `9 s! ?: G; i7 @+ i# J
. O3 `5 p2 R( ?- q* @
1 U( _( h" Y: k0 T% |. Z
下面我们用菜刀连接一下,
: B m- D5 L! E
$ e/ a3 q( ]) i% M; A2 W- r2 X- n; C: s5 _* L
- @9 V" P L6 P$ ]9 | 4 w0 J# J; |7 k" p% i
( B7 \4 N# [1 i8 h
OK,文章就到这里了,谢谢大家观看,原创作者:酷帥王子
$ T; `& H/ X) @( B | 
发表于 2018-10-20 20:17:57
收藏
支持
反对){kind=link}