新手上路 | 德国电信网站从LFI到命令执行漏洞
作者:admin | 时间:2017-12-19 00:36:20 | 分类:黑客技术 隐藏侧边栏展开侧边栏
几个月前,我对德国电信官网telekom.de作了一些子域名枚举,看看是否有一些新的子域名出现。因为德国电信只接收类似SQL注入和远程代码执行类的高危漏洞,所以如果够幸运的话,可以尝试在其子域名站点中去发现一些类似漏洞。
在跑了一遍aquatone 、dnsenum、 recon-ng 和 sublist3r之后,我收集到了telekom.de的所有子域名,在去除了重复项之后,我又创建了一个简单脚本利用dirb对每个子域名站点进行目录遍历。
本地文件包含(LFI)漏洞
几小时过后,当我检查dirb的运行结果后大吃一惊,竟然有一个子域名站点出现了info.php测试页面。我擅长PHP,而开发或架构者通常会在PHP部署上出现错误,留给黑客可入侵之机。info.php测试页中包含了路径、目录和位置等可用信息。
我尝试再进行试探之后,出现了一个登录页面,是时候启动Burpsuite进行一些spider操作了,不一会就跳出了一个这样的链接:
https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=logon.hlp
我把其中的logon.hlp用以../../../../../../../../etc/passwd请求信息进行了替换:
https://netweb.telekom.de/netweb/gui/help.php?SID&HELPFILE=../../../../../../../../etc/passwd
Bingo:
再换成/etc/release:
最终,出现了多个本地文件包含(LFI)漏洞:
命令执行漏洞
有了LFI漏洞,但还不能构成命令执行条件。我尝试用error.log来发现一些信息,由于info.php ( phpinfo())文件是位于站点根目录下的,它里面的信息包含了error.log文件位置,如下:
而在error.log的请求运行之后,其中还包含了之前用dirb跑出的文件soap.php信息,error.log中的一个数值还与referer值相关:
我们在curl请求下,用php echo方法来测试referer值响应输出是否会包含58-8=50的信息:
很好,error.log中竟然包含了58–8的测试值50输出:
那么也可以用它来响应phpinfo()信息:
利用error.log文件来执行phpinfo()的信息输出如下:
最终,我发给德国电信的漏洞报告如下:
最终,德国电信修复了这些漏洞。
*参考来源:@maxon3,freebuf小编clouds编译