看我如何找到Deutche Telekom本地包含漏洞（LFI）

幾個月前，我在http://telekom.de上做了一個子域名的暴力測試，看看是否有新的子域名，如果我運氣夠好，新的子域名可能會存在一些嚴重的漏洞，但是Deutche telekom只接受SQL注入和遠程代碼執行。

運行aquatone，dnsenum，recon-ng和sublist3r之後，我收集了所有的子域名，刪除了重複項目，並且使用dirb進行目錄掃描。

幾個小時後，我查看了dirb掃描結果。發現一個子域有info.php頁面可用。有時info.php會泄露一些信息，這些信息在Code Execution部分出現時會很有用。

打開頁面後，我被重定向到一個登錄頁面，打開BurpSuite並進行一次爬蟲。幾秒鐘之後，發現一個可能存在漏洞的URL：

https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=logon.hlp

我用../../../../../../../../etc/passwd替換logon.hlp ：

https://netweb.telekom.de/netweb/gui/help.php?SID&HELPFILE=../../../../../../../../etc/passwd

結果/etc/passwd輸出。

接下來，獲取更多的信息/etc/release

LFI很有趣，但不是在執行某些命令的範圍內。我選擇給error.log插入惡意代碼，在先前的info.php（phpinfo（））中它顯示了error.log文件的位置，更加方便了我這次的滲透，從SecList LFI列表中的所有位置在error.log文件位置上給出了0個命中。在info.php中是這樣的：

https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=../../../../../../../../../../ ../../../pkg/moip/netinfo/logs/apache-netweb-P/error.log

當在主機上運行dirb時，我發現了文件soap.php，它顯示了一些以error.log結尾的錯誤，而其中的一個數據是referer值

運行簡單的測試來查看插入日誌的惡意代碼是否被執行

結果在error.log內輸出50

下面我讓它執行PHPinfo()

輸出：

報告：2017年4月10日

修正：8月份某個時候

本文翻譯自：https://medium.com/@maxon3/lfi-to-command-execution-deutche-telekom-bug-bounty-6fe0de7df7a6 ，如若轉載，請註明原文地址： http://www.4hou.com/vulnerable/9085.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：