导语:几个月前,我在telekom.de上做了一个子域名的暴力测试,看看是否有新的子域名,如果我运气够好,新的子域名可能会存在一些严重的漏洞,但是Deutche telekom只接受SQL注入和远程代码执行。
几个月前,我在telekom.de上做了一个子域名的暴力测试,看看是否有新的子域名,如果我运气够好,新的子域名可能会存在一些严重的漏洞,但是Deutche telekom只接受SQL注入和远程代码执行。
运行aquatone,dnsenum,recon-ng和sublist3r之后,我收集了所有的子域名,删除了重复项目,并且使用dirb进行目录扫描。
几个小时后,我查看了dirb扫描结果。发现一个子域有info.php页面可用。有时info.php会泄露一些信息,这些信息在Code Execution部分出现时会很有用。
打开页面后,我被重定向到一个登录页面,打开BurpSuite并进行一次爬虫。几秒钟之后,发现一个可能存在漏洞的URL:
https://netweb.telekom.de/netweb/gui/help.php?HELPFILE=logon.hlp
我用../../../../../../../../etc/passwd替换logon.hlp :
https://netweb.telekom.de/netweb/gui/help.php?SID&HELPFILE=../../../../../../../../etc/passwd
结果/etc/passwd输出。
接下来,获取更多的信息/etc/release
LFI很有趣,但不是在执行某些命令的范围内。我选择给error.log插入恶意代码,在先前的info.php(phpinfo())中它显示了error.log文件的位置,更加方便了我这次的渗透,从SecList LFI列表中的所有位置在error.log文件位置上给出了0个命中。在info.php中是这样的:
当在主机上运行dirb时,我发现了文件soap.php,它显示了一些以error.log结尾的错误,而其中的一个数据是referer值
运行简单的测试来查看插入日志的恶意代码是否被执行
结果在error.log内输出50
下面我让它执行PHPinfo()
输出:
报告:2017年4月10日
修正:8月份某个时候