看我如何找到Deutche Telekom本地包含漏洞

几个月前,我在telekom.de上做了一个子域名的暴力测试,看看是否有新的子域名,如果我运气够好,新的子域名可能会存在一些严重的漏洞,但是Deutche telekom只接受SQL注入和远程代码执行。

运行aquatone,dnsenum,recon-ng和sublist3r之后,我收集了所有的子域名,删除了重复项目,并且使用dirb进行目录扫描。

几个小时后,我查看了dirb扫描结果。发现一个子域有info.php页面可用。有时info.php会泄露一些信息,这些信息在Code Execution部分出现时会很有用。

打开页面后,我被重定向到一个登录页面,打开BurpSuite并进行一次爬虫。几秒钟之后,发现一个可能存在漏洞的URL:

https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=logon.hlp

我用../../../../../../../../etc/passwd替换logon.hlp :

https://netweb.telekom.de/netweb/gui/help.php?SID&HELPFILE=../../../../../../../../etc/passwd

结果/etc/passwd输出。

接下来,获取更多的信息/etc/release

LFI很有趣,但不是在执行某些命令的范围内。我选择给error.log插入恶意代码,在先前的info.php(phpinfo())中它显示了error.log文件的位置,更加方便了我这次的渗透,从SecList LFI列表中的所有位置在error.log文件位置上给出了0个命中。在info.php中是这样的:

https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=../../../../../../../../../../ ../../../pkg/moip/netinfo/logs/apache-netweb-P/error.log

当在主机上运行dirb时,我发现了文件soap.php,它显示了一些以error.log结尾的错误,而其中的一个数据是referer值

运行简单的测试来查看插入日志的恶意代码是否被执行

结果在error.log内输出50

下面我让它执行PHPinfo()

输出:

报告:2017年4月10日

修正:8月份某个时候

本文来自企鹅号 - 嘶吼专业版媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏技术小站

Windows系统下hosts文件工作原理(转)

hosts 首先说明下, hosts文件没有后缀 一. Hosts文件的位置 很多用户都知道在Window系统中有个Hosts文件(没有后缀名),在Wind...

933
来自专栏逸鹏说道

.NET跨平台之旅:在Linux上以本地机器码(native)运行ASP.NET Core站点

在将“.NET跨平台之旅”示例站点 about.cnblogs.com 从 ASP.NET 5 RC1 升级至 ASP.NET Core 1.0 (博文链接)之...

2599
来自专栏子勰随笔

iMac上RubyGems相关的问题汇总

原因就是字面意思的原因, gem 要往目录/usr/bin写文件但是权限不够. 因为此时使用的是系统自带的 ruby, 他会在尝试往系统库中安装内容。有时候即使...

461
来自专栏哈雷彗星撞地球

Xcode 创建.a和framework静态库库介绍静态库与动态库的区别创建.a静态库创建framework静态库

最近因为项目中的聊天SDK,需要封装成静态库,所以实践了一下创建静态库的步骤,做下记录。

942
来自专栏鬼谷君

解决内网主机ping不通网关能ping内网

5401
来自专栏HappenLee的技术杂谈

Ubuntu系统下静态DNS配置详解

因为实验室实现的拟态存储系统需要实现动态变更ip地址,所以需要搭建一个dns服务器,并且将需要查询变更ip地址的服务器都绑定到同一台dns服务器之上。通常在Re...

593
来自专栏醉梦轩

编译可用的Android模拟器ranchu内核

1652
来自专栏24K纯开源

Windows下程序启动时出现0xc000007b错误的解决方案

一、背景介绍       不久前用Qt开发了一款小工具在公司使用,Debug运行时一切正常。可是当Release编译发布打包之后,运行时弹出这样的提示框: ? ...

2097
来自专栏李蔚蓬的专栏

Android中asset文件夹和raw文件夹区别

这阵子有位同学在一个命名非“raw”的文件夹中放置mp3文件,导致R文件报错,故此研究,寻得此篇文章,特做分享。

672
来自专栏Laoqi's Linux运维专列

集群架构の のzabbix 监控

36610

扫码关注云+社区