摘要:近日施耐德電氣爆出的漏洞�����,首先得到了一個本地包含�����,在這里作為靶目標(biāo)使用。配置文件中獲得了錯誤日志的路徑���,且關(guān)閉了訪問日志�����。利用思路整理那么我們可以利用錯誤日志來構(gòu)造合法的代碼����,從而利用包含漏洞����。了解何時會向錯誤日志寫入內(nèi)容。
0前言
在WEB滲透測試中尤其是PHP,經(jīng)常會挖到LFI漏洞��,想要GETSHELL�����,但無奈沒有文件上傳的途徑���,這里給一個思路�,拋磚引玉。
近日施耐德電氣爆出的漏洞����,首先得到了一個本地包含,在這里作為靶目標(biāo)使用�����。
1.本地獲得利用思路
umotion/themes/schneider/include/css.php?css=../../../../../../../etc/nginx&theme=ivory&version=11028
1.1 得到nginx配置
通過文件包含����,枚舉得到nginx的配置文件�。
/etc/nginx/nginx.conf
配置文件中獲得了nginx錯誤日志的路徑,且關(guān)閉了訪問日志�����。
error_log /var/log/nginx_error.log;
access_log off;
1.2 利用思路整理
那么我們可以利用錯誤日志來構(gòu)造合法的php代碼����,從而利用包含漏洞。
下面可以很直觀想到的幾個問題:
何時才會向nginx錯誤日志寫入錯誤內(nèi)容����。
如何控制我們寫入的內(nèi)容���。
如果遇到轉(zhuǎn)義寫入如何繞過。
目前知道的情況:
目標(biāo)系統(tǒng)為nginx + FastCGI + php架構(gòu)�����。
2.了解何時會向nginx錯誤日志寫入內(nèi)容��。
通過觀察日志可以很容易發(fā)現(xiàn)����,如果請求為404/403等異常錯誤碼,或者FastCGI返回出錯信息��,均會記錄到nginx錯誤日志中����,
2017/06/15 17:27:37 [error] 23229#0: *29454 open() "/web/html/favicon.ico" failed (2: No such file or directory), client:
3.控制我們寫入的內(nèi)容
可以很容易發(fā)現(xiàn),我們的請求PATH會被寫入到錯誤日志中(請求路徑不存在)��。且攜帶我們的IP信息�,以及HTTP頭部的referrer。那么我們就可以利用這兩點來構(gòu)造���。
4.繞過轉(zhuǎn)義
這時候?qū)懭?/p>
我們構(gòu)造
host/xx/?
如果通過webkit內(nèi)核瀏覽器訪問�,webkit會自動轉(zhuǎn)移,直接通過curl發(fā)送��。
這里使用referrer來注入代碼到錯誤日志中���。還好nginx端沒有進(jìn)行任何轉(zhuǎn)義�,如果遇到轉(zhuǎn)義則需要見機行事����,構(gòu)造可用payload。
最后成功寫入向錯誤日志中注入php代碼���。
5.總結(jié)
其實沒什么技術(shù)含量���,只是經(jīng)常會遇到這種情況����,包括各種日志,apache,nginx等。這里只提供一個思路���。設(shè)置站點權(quán)限的時候����,這些點可以關(guān)注下,包括讀取日志得到敏感信息(后臺����,管理員信息等)。
本文永久地址[利用nginx日志結(jié)合本地包含漏洞GetShell]�����,轉(zhuǎn)載請注明出處����。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/39578.html
