利用nginx日志结合本地包含漏洞GetShell

摘要：近日施耐德电气爆出的漏洞，首先得到了一个本地包含，在这里作为靶目标使用。配置文件中获得了错误日志的路径，且关闭了访问日志。利用思路整理那么我们可以利用错误日志来构造合法的代码，从而利用包含漏洞。了解何时会向错误日志写入内容。

在WEB渗透测试中尤其是PHP,经常会挖到LFI漏洞，想要GETSHELL，但无奈没有文件上传的途径，这里给一个思路，抛砖引玉。

近日施耐德电气爆出的漏洞，首先得到了一个本地包含，在这里作为靶目标使用。

umotion/themes/schneider/include/css.php?css=../../../../../../../etc/nginx&theme=ivory&version=11028

通过文件包含，枚举得到nginx的配置文件。

/etc/nginx/nginx.conf

配置文件中获得了nginx错误日志的路径，且关闭了访问日志。

error_log  /var/log/nginx_error.log;
access_log    off;

那么我们可以利用错误日志来构造合法的php代码，从而利用包含漏洞。

下面可以很直观想到的几个问题：

何时才会向nginx错误日志写入错误内容。

如何控制我们写入的内容。

如果遇到转义写入如何绕过。

目前知道的情况：

目标系统为nginx + FastCGI + php架构。

通过观察日志可以很容易发现，如果请求为404/403等异常错误码，或者FastCGI返回出错信息，均会记录到nginx错误日志中，

2017/06/15 17:27:37 [error] 23229#0: *29454 open() "/web/html/favicon.ico" failed (2: No such file or directory), client:

可以很容易发现，我们的请求PATH会被写入到错误日志中(请求路径不存在)。且携带我们的IP信息，以及HTTP头部的referrer。那么我们就可以利用这两点来构造。

这时候写入

我们构造

host/xx/?

如果通过webkit内核浏览器访问，webkit会自动转移，直接通过curl发送。
这里使用referrer来注入代码到错误日志中。还好nginx端没有进行任何转义，如果遇到转义则需要见机行事，构造可用payload。

最后成功写入向错误日志中注入php代码。

其实没什么技术含量，只是经常会遇到这种情况，包括各种日志,apache,nginx等。这里只提供一个思路。设置站点权限的时候，这些点可以关注下，包括读取日志得到敏感信息(后台，管理员信息等)。
本文永久地址[利用nginx日志结合本地包含漏洞GetShell]，转载请注明出处。