ANTICHAT - Техника поиска и эксплуатации LFI уязвимостей

ANTICHAT (https://forum.antichat.xyz/index.php)

- Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)

- - Техника поиска и эксплуатации LFI уязвимостей (https://forum.antichat.xyz/showthread.php?t=432571)

Всем привет

Имеется страничка

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=fp_usluge

название параметра запроса намекает на наличие на сайте LFI

пробую следующее:

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=./fp_usluge

страница успешно грузится

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=../fp_usluge

страница не грузится

что еще более намекает на наличие LFI

проверяю, что будет с %00

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=fp_usluge%00

страница не грузится, из чего делаю предположение о том, что параметр с чем-то конкатенируется

теперь пытаюсь заинклюдить /etc/passwd

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=etc/passwd%00

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=../etc/passwd%00

Код:

http://www.dirdim.com/port_featuredprojects.php?fileName=../../etc/passwd%00

и так далее

заинклюдить не удалось

в связи с этим несколько вопросов:

На сколько это похоже на LFI? Что такое может быть на сервере, из-за чего мне не удается подключить /etc/passwd? Как его можно раскрутить дальше?

Какие файлы вы пробуете инклюдить на windows серверах? Что потенциально опасного можно сделать с LFI, в том случае, если на сайте нет возможности залить шелл?

Заранее спасибо за ответы

LFI, смотрим

fileName=../lm_links

fileName=../port_featuredprojects

null-byte не будет работать, т.к. версия пропатчена

X-Powered-By: PHP/5.3.29-pl0-gentoo

==

есть phpinfo

fileName=../phpinfo

можно пробовать тему LFI + phpinfo

https://rdot.org/forum/showthread.php?t=1134

==

UPD

LFI + phpinfo() порекомендовал зря, тема хорошая, но не тот случай, конечно.

Цитата:

Сообщение от nikp

↑
LFI, смотрим
fileName=../lm_links
fileName=../port_featuredprojects
null-byte не будет работать, т.к. версия пропатчена
X-Powered-By: PHP/5.3.29-pl0-gentoo

То есть такую уязвимость можно эксплуатировать, только если получится залить шелл с расширением .php?

Можно подробнее, что значит версия пропатчена?

null-byte использовать не получится. уязвимость исправлена

Можно попробовать найти логи сервера по этой базе дефолтных путей:

/threads/324564/

Потом отправить специальный http пакет с помощью софта InetCrack или HttpREQ:

/threads/121239/

В заголовках пакета разместить PHP-код, он запишется в лог-файл и можно подгрузить его через LFI

Цитата:

Сообщение от yarbabin

↑
null-byte использовать не получится. уязвимость исправлена

Я правильно, понял, что нулл-байт актуален для php
[/CODE]
сделали для удобства разработки и забыли убрать?) Как часто встречается подобное? Как вы нашли его?

описанным методом у меня получилось залить шелл в tmp, но мне не ясен момент можно ли заинклудить залитый файл.

предположительно, там написано что-то вроде

Код:

include($_GET['file'] . ".php");

в этом случае я буду пытаться заинклюдить /tmp/blabla.php вместо /tmp/blabla, где реально лежит шелл

Цитата:

Сообщение от {iddqd}

↑
Можно попробовать найти логи сервера по этой базе дефолтных путей:
/threads/324564/
Потом отправить специальный http пакет с помощью софта InetCrack или HttpREQ:
/threads/121239/
В заголовках пакета разместить PHP-код, он запишется в лог-файл и можно подгрузить его через LFI

Интересный подход

Но опять-таки непонятно, как мне найти логи, если дописывается расширение .php и нельзя использовать null byte