看我如何找到Deutche Telekom本地包含漏洞(LFI)
幾個月前,我在http://telekom.de上做了一個子域名的暴力測試,看看是否有新的子域名,如果我運氣夠好,新的子域名可能會存在一些嚴重的漏洞,但是Deutche telekom只接受SQL注入和遠程代碼執行。
運行aquatone,dnsenum,recon-ng和sublist3r之後,我收集了所有的子域名,刪除了重複項目,並且使用dirb進行目錄掃描。
幾個小時後,我查看了dirb掃描結果。發現一個子域有info.php頁面可用。有時info.php會泄露一些信息,這些信息在Code Execution部分出現時會很有用。
打開頁面後,我被重定向到一個登錄頁面,打開BurpSuite並進行一次爬蟲。幾秒鐘之後,發現一個可能存在漏洞的URL:
https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=logon.hlp
我用../../../../../../../../etc/passwd替換logon.hlp :
https://netweb.telekom.de/netweb/gui/help.php?SID&HELPFILE=../../../../../../../../etc/passwd
結果/etc/passwd輸出。
接下來,獲取更多的信息/etc/release
LFI很有趣,但不是在執行某些命令的範圍內。我選擇給error.log插入惡意代碼,在先前的info.php(phpinfo())中它顯示了error.log文件的位置,更加方便了我這次的滲透,從SecList LFI列表中的所有位置在error.log文件位置上給出了0個命中。在info.php中是這樣的:
https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=../../../../../../../../../../ ../../../pkg/moip/netinfo/logs/apache-netweb-P/error.log
當在主機上運行dirb時,我發現了文件soap.php,它顯示了一些以error.log結尾的錯誤,而其中的一個數據是referer值
運行簡單的測試來查看插入日誌的惡意代碼是否被執行
結果在error.log內輸出50
下面我讓它執行PHPinfo()
輸出:
報告:2017年4月10日
修正:8月份某個時候
本文翻譯自:https://medium.com/@maxon3/lfi-to-command-execution-deutche-telekom-bug-bounty-6fe0de7df7a6 ,如若轉載,請註明原文地址: http://www.4hou.com/vulnerable/9085.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※0xB6 入口流量分析平台搭建與流量分析那些事兒
※密碼學I:離散概率(續)
※Hacker,沒有堅持3個月以上,就沒有發言權
※Android 應用有哪些常見,常被利用的安全漏洞?
※非典型2017美本信安選校指南
TAG:信息安全 |