今天开水了~别骂我
作为一名漏洞赏金猎人,我认为最重要的是我们尝试或遵循的利用漏洞的方法,最终导致漏洞产生更大的影响,我在这里也采取了同样的方法。
在搜索漏洞时,我在目标网站https://www.example.com/forum/attachment-serve?name=../../../../../../../../../../etc/shadow&path = 中发现了 LFI。如你所见,参数“name”容易受到 LFI 攻击。
我确认 LFI 确实存在,所以现在我的目标是升级它以获取 RCE。现在的想法是访问某些文件,可能是日志文件,它可以提供一些用户控制器输入(以便运行某些命令)。
因此我尝试读取访问日志、错误日志以及不同的位置来访问它们。
但似乎我获得 LFI 的用户无权访问日志文件。我读了一点资料并做了一些研究,然后才知道“/proc/self/fd”提供了访问日志和其他各种系统相关文件的符号快捷方式。所以我尝试阅读这些内容以寻找访问日志
然后我在 /proc/self/fd/{number} 上运行入侵者,其中一个 fd 文件允许我访问访问日志
这里引起我注意的是“referer”标头,因为我知道它是用户控制输入的内容。是时候执行一些命令了。我在 HTTP 请求中添加了“referer”标头,将其值设置为 system(id) 并转发它
并得到了愉快的回应:)
这就是我如何从本地文件包含(LFI)获取远程代码执行(RCE)的方法!
原文始发于微信公众号(富贵安全):从 LFI 到 RCE 的旅程!!!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论