摘要：近日施耐德電氣爆出的漏洞，首先得到了一個(gè)本地包含，在這里作為靶目標(biāo)使用。配置文件中獲得了錯(cuò)誤日志的路徑，且關(guān)閉了訪(fǎng)問(wèn)日志。利用思路整理那么我們可以利用錯(cuò)誤日志來(lái)構(gòu)造合法的代碼，從而利用包含漏洞。了解何時(shí)會(huì)向錯(cuò)誤日志寫(xiě)入內(nèi)容。

在WEB滲透測(cè)試中尤其是PHP,經(jīng)常會(huì)挖到LFI漏洞，想要GETSHELL，但無(wú)奈沒(méi)有文件上傳的途徑，這里給一個(gè)思路，拋磚引玉。

近日施耐德電氣爆出的漏洞，首先得到了一個(gè)本地包含，在這里作為靶目標(biāo)使用。

umotion/themes/schneider/include/css.php?css=../../../../../../../etc/nginx&theme=ivory&version=11028

通過(guò)文件包含，枚舉得到nginx的配置文件。

/etc/nginx/nginx.conf

配置文件中獲得了nginx錯(cuò)誤日志的路徑，且關(guān)閉了訪(fǎng)問(wèn)日志。

error_log  /var/log/nginx_error.log;
access_log    off;

那么我們可以利用錯(cuò)誤日志來(lái)構(gòu)造合法的php代碼，從而利用包含漏洞。

下面可以很直觀想到的幾個(gè)問(wèn)題：

何時(shí)才會(huì)向nginx錯(cuò)誤日志寫(xiě)入錯(cuò)誤內(nèi)容。

如何控制我們寫(xiě)入的內(nèi)容。

如果遇到轉(zhuǎn)義寫(xiě)入如何繞過(guò)。

目前知道的情況：

目標(biāo)系統(tǒng)為nginx + FastCGI + php架構(gòu)。

通過(guò)觀察日志可以很容易發(fā)現(xiàn)，如果請(qǐng)求為404/403等異常錯(cuò)誤碼，或者FastCGI返回出錯(cuò)信息，均會(huì)記錄到nginx錯(cuò)誤日志中，

2017/06/15 17:27:37 [error] 23229#0: *29454 open() "/web/html/favicon.ico" failed (2: No such file or directory), client:

可以很容易發(fā)現(xiàn)，我們的請(qǐng)求PATH會(huì)被寫(xiě)入到錯(cuò)誤日志中(請(qǐng)求路徑不存在)。且攜帶我們的IP信息，以及HTTP頭部的referrer。那么我們就可以利用這兩點(diǎn)來(lái)構(gòu)造。

這時(shí)候?qū)懭?/p>

我們構(gòu)造

host/xx/?

如果通過(guò)webkit內(nèi)核瀏覽器訪(fǎng)問(wèn)，webkit會(huì)自動(dòng)轉(zhuǎn)移，直接通過(guò)curl發(fā)送。
這里使用referrer來(lái)注入代碼到錯(cuò)誤日志中。還好nginx端沒(méi)有進(jìn)行任何轉(zhuǎn)義，如果遇到轉(zhuǎn)義則需要見(jiàn)機(jī)行事，構(gòu)造可用payload。

最后成功寫(xiě)入向錯(cuò)誤日志中注入php代碼。

其實(shí)沒(méi)什么技術(shù)含量，只是經(jīng)常會(huì)遇到這種情況，包括各種日志,apache,nginx等。這里只提供一個(gè)思路。設(shè)置站點(diǎn)權(quán)限的時(shí)候，這些點(diǎn)可以關(guān)注下，包括讀取日志得到敏感信息(后臺(tái)，管理員信息等)。
本文永久地址[利用nginx日志結(jié)合本地包含漏洞GetShell]，轉(zhuǎn)載請(qǐng)注明出處。